Phishing suplantando a Iberia usado para robar credenciales de tarjetas de crédito

La suplantación de identidad de empresas y organismos públicos de sobra conocidos es algo habitual que los delincuentes utilizan prácticamente a diario para conseguir nuevas víctimas. Uno de los usos principales que desde siempre se le ha dado al phishing, ha sido el de obtener credenciales de banca online y de tarjetas de crédito, y aunque la suplantación de entidades bancarias siga siendo algo habitual, los delincuentes también tratan de suplantar a otras empresas que ofrecen ciertos servicios financieros como la emisión de tarjetas de crédito para sus clientes.

Aviso de compra por un importe elevado

Para la campaña que vamos a analizar en este artículo los delincuentes han usado mensajes SMS como método de propagación, recibidos por varios usuarios en las últimas horas. En estos mensajes se nos avisa de una supuesta compra por un importe elevado, proporcionándonos un enlace para anular dicha compra. Resulta curioso que no se haya indicado el nombre de la entidad o empresa emisora de la tarjeta usada para la supuesta compra fraudulenta, aunque tampoco es algo extraño en este tipo de campañas.

Revisando el enlace proporcionado en el SMS y sin mencionar ninguna entidad bancaria o empresa, es difícil que un usuario que reciba dicho mensaje pueda saber cuál de sus tarjetas de crédito se ha visto supuestamente afectada. Esto puede servir para que quien reciba este SMS desconfíe y no pulse sobre el enlace o, al contrario, se alarme y pulse sobre él para ver si alguien ha usado alguna de sus tarjetas de crédito sin su permiso.

El enlace proporcionado redirige a una web preparada por los delincuentes que trata de emular al portal de acceso de clientes y empresas a sus cuentas de Iberia Cards. Sin embargo, si lo comparamos con la web auténtica, comprobaremos varias diferencias como la inclusión de un Captcha en la web original y errores en la falsa como solicitar el DNI en el acceso para empresas.

Al indagar un poco más en el dominio utilizado para alojar dicha web, comprobamos que este se registró hace apenas dos semanas, por lo que se trata de una campaña reciente y, por tanto, un dominio que aún no es detectado como malicioso por varias de las soluciones de seguridad con capacidad de detectar casos de phishing como este.

Además, podemos ver que desde esa web existen redirecciones a otros subdominios donde se incluye directamente la mención a Iberia Cards, con especial interés en el portal de acceso para particulares. Es posible que los delincuentes estén pensando en usar estas redirecciones en campañas futuras dirigidas concretamente a usuarios de estas tarjetas de crédito, con mensajes SMS personalizados en lugar de uno genérico como el que hemos observado en esta campaña.

En cualquier caso, no es la primera vez que vemos como el nombre de Iberia es usado con fines maliciosos por los ciberdelincuentes. Ya en febrero de este año vimos que los delincuentes suplantaron la identidad de Iberia Express en un correo donde se nos invitaba a hacer negocios y se adjuntaba un fichero malicioso que contenía un infostealer pensado para robar información de empresas españolas.

Además, las empresas relacionadas con turismo y vacaciones suelen ser usadas como gancho por los ciberdelincuentes para todo tipo de estafas, por lo que debemos andarnos con mucho cuidado ante cualquier mensaje, correo o publicación en redes sociales que diga provenir de estas compañías, asegurándonos siempre de acudir a la fuente original para contrastar esa información.

Conclusión

Aunque en esta ocasión los delincuentes han dejado más de un indicio para que los usuarios más avispados o desconfiados puedan detectar que se encuentran ante un caso de phishing, es importante no bajar la guardia ante este tipo de comunicaciones y acudir siempre a las webs oficiales en lugar de pulsar sobre los enlaces proporcionados. De esta forma, podremos evitarnos más de un disgusto para nosotros y para nuestra cuenta corriente.

Josep Albors