Nuevo caso de phishing dirigido a clientes de La Caixa
Las entidades bancarias siguen siendo uno de los objetivos preferidos por los delincuentes a la hora de intentar engañar a los usuarios con webs de phishing. Prácticamente todas las semanas recibimos en nuestro laboratorio varias muestras que afectan a entidades de todo tipo, nacionales e internacionales.
Analizando el email con el phishing
Como suele ser habitual, el engaño empieza cuando un usuario recibe un correo electrónico de su entidad. Si esta resulta ser La Caixa, es probable que se pare a leerlo y repare en el enlace proporcionado. El mensaje sigue el procedimiento habitual en estos casos, informando al usuario de que debe proceder a realizar alguna revisión en su cuenta.
Como datos curiosos tenemos que el texto está correctamente redactado en español, incluyendo tildes, y que se proporciona un enlace que aparentemente utiliza un protocolo de comunicación seguro. La realidad es bien diferente, y es que si nos fijamos en a dónde se nos redirige mediante el enlace, veremos que la dirección nada tiene que ver con La Caixa, siendo una web perteneciente a una organización ubicada en Indonesia que ha sido comprometida para alojar código malicioso que redirige automáticamente a las víctimas a otro dominio.
Esta nueva web a la que la víctima es redirigida pertenece a una empresa japonesa que también ha visto su página comprometida. Esta se encuentra realizada con el popular CMS WordPress y los delincuentes han aprovechado alguna vulnerabilidad no parcheada por los propietarios de esta web para ubicar el phishing de La Caixa.
Web original vs. web fraudulenta
A continuación podemos ver una comparativa entre la web original de La Caixa y la web falsa preparada por los delincuentes:
Como en la mayoría de este tipo de webs pertenecientes a entidades bancarias, para poder realizar cualquier operación se requiere que se introduzcan datos del usuario. Estos datos suelen ser el DNI u otro documento identificativo oficial y un código PIN. En el caso de que el usuario muerda el anzuelo e introduzca sus datos, las soluciones de seguridad de ESET cortarán la comunicación y avisarán del riesgo que supone acceder a esta web fraudulenta.
En caso de no contar con una solución de seguridad capaz de reconocer estos casos de phishing, la víctima accede a una nueva página donde se le solicitará, con todo el descaro del mundo, que introduzca todos los códigos de su tarjeta de coordenadas. A estas alturas cuesta creer que alguien caiga en una trampa tan burda, pero todo es posible, y si los delincuentes han optado por este método para robar dinero de la cuenta de sus víctimas es que aún quedan suficientes ingenuos que caen en la trampa.
Consejos y conclusiones
Que sigan usándose prácticamente las mismas técnicas de phishing desde hace varios años para conseguir nuevas víctimas dice mucho de la falta de concienciación existente aún en entre un buen número de usuarios. Las campañas de información sobre este tema realizadas tanto desde las entidades bancarias como desde empresas de seguridad y organismos oficiales han ayudado bastante, pero queda mucho camino por recorrer.
La mejor manera de actuar ante este tipo de casos es sospechar desde el principio y, en caso de duda, acudir a nuestra entidad o contactar con ellos telefónicamente. Además, nunca está de más recordar que nuestra entidad bancaria no va a utilizar prácticamente nunca este medio de comunicación para avisarnos de incidencias en nuestras cuentas.
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.