En la siguiente captura se puede ver un correo falso que simula ser enviado por el Banco de la Nación de Perú, el mensaje intenta engañar a los usuarios para que accedan a una página fraudulenta, la excusa ya es conocida, un supuesto bloqueo temporal de la cuenta virtual.
Al hacer clic en cualquiera de los enlaces, la víctima termina en la siguiente página:
El sitio copia el diseño legítimo del banco, el ojo atento notará que la dirección de la página no es la real. La dirección real del Banco de la Nación de Perú es www.bn.com.pe.
Si la víctima intenta acceder a su cuenta desde la página falsa se encontrará con lo siguiente:
Se piden todos los datos personales del usuario y sin importar que la información ingresada sea real, el proceso parece completarse. Si se observa la URL se verá que en todo momento se está en la página falsa.
El mensaje final indica que se deben esperar 24 horas mientras los datos son comprobados, esto les da tiempo suficiente a los estafadores para acceder a las cuentas de las víctimas, ver cuanto dinero tienen y robar sumas de dinero que no sean muy sospechosas. Por ejemplo si en un mes, entre todos los ataques que realizan, obtienen 500 víctimas y les roban un promedio de 25 dólares a cada una, se hacen unos 12.500 dólares.
Este kit de phishing está alojado en un servidor vulnerado que pertenece a una empresa de Marketing de Estados Unidos, ya les envié un mensaje advirtiéndoles la situación.
Por último mencionar que en la página real del banco hay una sección de seguridad con recomendaciones y ejemplos de estafas habituales (www.bn.com.pe/seguridad-en-operaciones.asp), allí se explica claramente que la institución no solicita información personal mediante correos, mensajes de texto o llamadas telefónicas.
Un agradecimiento especial para Luis de Perú por reportar la página.
Gracias por el reporte Ivan.
Reporto otra pagina clonada http://[editado].zz.mu/zonasegura01.bn.com.pe/BNweb/Inici0.htm
muy buena info =D .. un saludo desde Perú!
como dicen, en realidad solo basta con ser un poco cuidadoso para no caer en este tipo de engaños, lamentablemente muy poca gente esta informada sobre esto
A veces basta con ver un correo, se sabe que una organización o empresa grande e importante no usara nunca un correo gratuito, siempre usa su nombre de dominio, y nunca hotmail, gmail o algo parecido.
Es como el phishing de blogger o cuentas de adsense, los mails son mandados de cuentas de hotmail o gmail, ni el mismo google usa cuentas de gmail, siempre son @google, igual los bancos @bancoblabla