Una campaña de phishing que suplanta al Banco Santander se propaga por correo y SMS

| 04 Jun, 2019 | Ciberamenazas | 6 comentarios

Los casos de phishing se han ido multiplicando durante los últimos meses y es que esta amenaza se encuentra en los primeros puestos del ranking de detecciones en España y otros países. No cabe duda de que, ya sea con la finalidad de robar datos privados de los usuarios o como primera fase de campañas más elaboradas, el envío de correos fraudulentos sigue siendo uno de los vectores de ataques más utilizados por los atacantes.

Correo sospechoso con imagen del Banco Santander

Como en tantos otros casos anteriores, todo empieza con la recepción de un correo en nuestra bandeja de entrada que parece tener como remitente al Banco Santander. Sin embargo, en esta ocasión no hace falta analizar la cabecera del email para comprobar que hay gato encerrado, ya que la propia dirección desde donde se envía el correo electrónico ya delata que su procedencia no es legítima.

Aun así, es posible que algún cliente de esta entidad bancaria no se fije en este detalle ni en la redacción bastante mejorable del contenido del mensaje. Incluso es probable que, tras leerlo, el usuario, preocupado por sus ahorros, pulse sobre el enlace proporcionado sin darse cuenta de que no se dirige a un dominio propiedad del banco, sino a uno que está controlado por los delincuentes.

Es en esta parte donde se debería prestar atención a todos los detalles que acabamos de comentar para, directamente, eliminar sin contemplaciones este mensaje de nuestra bandeja de entrada. Sin embargo, si los delincuentes siguen usando esta táctica es porque les sigue funcionando, aún sin esmerarse demasiado en el diseño y el contenido del correo electrónico tal y como sucede en este caso.

Uso de un certificado válido

Cuando la víctima es redirigida a la página web se siguen observando indicios que nos indican que estamos ante un caso de suplantación de identidad. La web poco tiene que ver con la legítima, tanto en diseño como en la dirección utilizada. Este último punto es importante ya que el dominio utilizado por los delincuentes “micuenat-santandner.com” se aprovecha de un nombre similar y fue registrado en el día de ayer 2 de junio (actualmente ya ha sido dado de baja). Sabemos además que la localización del servidor donde se aloja se encuentra aparentemente en España y el registro se realizó mediante un conocido proveedor de dominios.

Sin embargo, lo que más preocupa de esta web fraudulenta es que cuenta con un elemento que hace bajar la guardia a muchos usuarios. Se trata del certificado que indica que la comunicación entre el usuario y la web se realiza de forma segura. El famoso “candado” verde, que muchos siguen pensando que se refiere a que la web es segura, puede ser una trampa si se antepone a todas las señales que nos sirven para demostrar que estamos ante una página fraudulenta.

Esto es consecuencia de una interpretación errónea del significado de esta medida que se realiza desde hace demasiados años. Cambiar esas creencias y hábitos costará mucho tiempo, algo de lo que los delincuentes son conscientes y que, seguro, van a aprovechar.

Robo de datos y uso del doble factor de autenticación

En lo que respecta al método utilizado para hacerse con los datos de las víctimas, no hay excesivas novedades ya que se sigue solicitando al usuario que los introduzca de forma manual. Así pues, tras una primera pantalla en la que se pide el documento de identidad y la clave de acceso, los delincuentes pasan a requerir directamente los datos de la tarjeta, sin comprobar que estos sean verídicos o inventados.

Como dato curioso que ya hemos visto en casos de phishing anteriores, en el último paso antes de redirigirnos, esta vez sí, a la web legítima del Banco Santander, se nos solicita el código de confirmación que se envía como doble factor de autenticación al móvil del usuario cuando se realiza un pago o transferencia. De este paso deducimos que los atacantes intentan realizar un cargo por un importe desconocido tan pronto como la víctima introduce los datos de su tarjeta de crédito en el paso anterior, aunque ya avanzamos que la información de la tarjeta de crédito se guarda para otros fines delictivos.

Envío de SMS

Además del envío de correos electrónicos, también se han detectado mensajes SMS con el mismo asunto y la misma suplantación de identidad del Banco Santander. En este caso, el mensaje es más breve pero también más directo y proporciona una dirección acortada a la que acceder.

Que los delincuentes hayan utilizado también el envío de mensajes SMS para aumentar el número potencial de víctimas demuestra que quieren rentabilizar al máximo esta campaña. En el momento de escribir estas líneas habían pulsado sobre el enlace acortado enviado de esta manera más de 1000 veces, lo que nos da una idea del alcance que ha podido llegar a tener, así como también de la hora en la que se inició el envío de mensajes de texto (alrededor de las 12 de la mañana del 3 de junio en horario peninsular de España).

Con respecto al código usado para generar las webs fraudulentas, tras analizar el código fuente de estas páginas y varios archivos incrustados en ellas, todo apunta a que los delincuentes usaron un kit de creación de páginas de phishing. Después registraron y almacenaron la información introducida en los formularios mostrados a las víctimas y, muy probablemente, guardaron esta información en un panel de control.

Conclusión

Estamos ante un nuevo caso de phishing que se aprovecha del prestigio de una entidad bancaria para intentar robar la información de sus usuarios. Como vemos, este tipo de incidentes no ha dejado de producirse durante los últimos años, con ligeras variaciones en lo que respecta a hacerlos más creíbles (con inclusión de certificados válidos que muestren el candado verde) o su facilidad de uso (con utilización de kits de phishing de sencillo manejo).

Por ese motivo, como usuarios, debemos estar alerta y fijarnos en aquellos puntos que hemos comentado y que nos sirven para distinguir un correo y una web fraudulenta de otros legítimos, sin olvidarnos de utilizar medidas de seguridad que sean capaces de detectar este tipo de amenazas.

Josep Albors

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

6 Comentarios
  1. Ibtisam

    Yo tambien he recibido correos de santander . De bankia y de ing y no tengo cuenta con ningunos van aconpañados de un pdf y te pone k tienes un reembolso a tu favor. Nose dnd denuciarlo

  2. Federico

    Yo también he recibido antes de ayer un mensaje de Banco Santander diciendo que «tengo derecho a un reembolso de 214€ de bancosantander». Con un enlace que me pedía claves, contraseñas y otros datos.
    Lógicamente se me puso «la mosca detrás de la oreja».
    Esta mañana he pasado por mi oficina y enseguida me han dicho que es un intento de estafa.
    Que ya tienen conocimiento y que no haga ni caso.
    Ningún banco nos va a pedir por mensajes o correos, contraseñas, DNI , claves, cuentas…….etc.
    Algunos «pican».
    Nunca dar datos A NADIE.

  3. Juan Ramón

    Yo también he recibido un mensaje de texto del supuesto Banco Santander, donde decía que tenía que hacer un ingreso de dinero por el cobro de una tarjeta. Y llame y me confirmó atención al cliente de Santander que ellos no sabían nada de ese SMS. Y yo pregunto si no es denunciable que sabiendo quien te lo manda sea otra entidad de tarjetas online diciendo de que haga ese ingreso.

  4. Federico Echanove Guerra del Rio

    A mí también me ha llegado hoy un SMS igualito al que aquí se reproduce de un remitente desconocido denominado «Aviso». Cuando ni tengo cuenta en el Santander…

    El problema para denunciar estos intentos de estafa, por mi experiencia, es que en una comisaría no te hacen mucho caso si no se ha consumado (parece increíble, pero es así).

    No obstante hay la posibilidad de ponerlo en conocimiento de las unidades que se ocupan de perseguir esto delitos sin hacer una denuncia formal a través de este enlace que os pongo abajo:

    https://www.policia.es/colabora.php

    Enviado desde Samsung tablet

  5. Juan Carlos Domínguez

    Ami igual con la direcio santanderm.com

  6. Berserker

    Hola,
    También me han mandado, aparte del Santander, de Bankia, de Amazon…pero nunca he clickado en ellos. Los dominios de las direcciones no son los oficiales.
    Por cierto, sólo recibo este tipo de mails en hotmail, nunca en gmail ni en yahoo. Un tanto extraño, no?
    Un saludo.

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..