Los siguientes son dos ejemplos típicos de phishing bancario, todo comienza con un correo fraudulento que simula ser enviado por el banco para realicemos alguna acción, el objetivo de los atacantes es obtener los datos de la cuenta para robar el dinero, realizar compras online, financiar otros delitos o vender la información.
El primer ejemplo busca engañar a los clientes del banco con un supuesto premio de 200€ que serían abonados a la cuenta:
Al pasar el puntero sobre el enlace se puede ver que el destino no es la página del banco, sino una página extraña. Las víctimas al acceder se encuentran con un diseño similar al real para que no sospechen e ingresen sus datos bancarios:
Una vez que se ingresa un usuario y contraseña los estafadores también solicitan todos los datos de la tarjeta con la excusa de que el dinero será cargado en 24 horas:
Notar en ambas capturas las URLs en el navegador, no son las del banco ni tampoco incluyen HTTPS. Estas son dos señales claras de que algo raro está pasando.
Por otro lado, es interesante la ingeniería social que utilizan para engañar a los usuarios ¿a quién no le gustaría recibir 200€ de regalo? Muchos al ver un correo así no dudarían un segundo en ingresar sus datos, ya sea por la emoción de ser uno de los ganadores o por desconocer la metodología de estos ataques.
Segundo ejemplo, phishing con formulario adjunto:
Este caso me lo envió Carlos desde México, el gancho para engañar ya es más clásico, un supuesto problema con la cuenta que debe ser restaurada siguiendo unas instrucciones:
Como se puede apreciar en la captura, el correo incluye un formulario.htm adjunto que es utilizado para robar los datos. Notar además las faltas de ortografía en el mensaje, otra señal típica de los correos de phishing.
Cuando la víctima descarga el formulario y lo abre se encuentra con lo siguiente:
La técnica de enviar formularios adjuntos les permite burlar los filtros antiphishing, al ser una página que se carga localmente (desde el disco duro) y simplemente envía la información al servidor del atacante, es más difícil bloquearla. Al igual que el ejemplo anterior, buscan robar la información de la tarjeta de crédito.
Estos ejemplos de ataques son muy comunes y como vemos no es complicado detectarlos, basta con prestar atención a los correos y pensar dos veces antes de realizar alguna acción como hacer clic en los enlaces, abrir un adjunto o proporcionar información personal.
¿Serías capaz de detectar estos engaños? ¿conoces gente que podría caer en ellos?
Ver también:
Phishing del Banco República (Uruguay).
El sentido común evitó el fraude (ejemplo de phishing en PC infectada).