{"id":1611,"date":"2019-06-07T11:40:08","date_gmt":"2019-06-07T16:40:08","guid":{"rendered":"http:\/\/www.itechsas.com\/blog\/?p=1611"},"modified":"2019-06-07T12:35:41","modified_gmt":"2019-06-07T17:35:41","slug":"phishing-a-banco-de-colombia-busca-robar-informacion-financiera","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/phishing-a-banco-de-colombia-busca-robar-informacion-financiera\/","title":{"rendered":"Phishing a banco Colombiano busca robar informaci\u00f3n financiera"},"content":{"rendered":"\n<p>Campa\u00f1a de <a href=\"http:\/\/www.itechsas.com\/blog\/seguridad\/claves-para-reconocer-el-phishing\/\"><strong>phishing <\/strong><\/a>dirigida a usuarios de Colombia suplanta identidad de reconocido banco con el objetivo de robar credenciales de acceso y datos de las tarjetas de cr\u00e9dito y d\u00e9bito.<\/p>\n\n\n\n<p>Los cibercriminales siguen avanzando en sus t\u00e9cnicas de ingenier\u00eda social. Prueba de esto es que a partir de un correo que lleg\u00f3 al laboratorio de investigaci\u00f3n de ESET Latinoam\u00e9rica, identificamos un sitio de <strong>phishing que suplanta la identidad de un reconocido banco de Colombia<\/strong> que cumple inclusive con el requisito de poseer un certificado SSL, haciendo creer al usuario que caiga en el enga\u00f1o que ofrece una \u201cmayor protecci\u00f3n\u201d a la navegaci\u00f3n e ingreso de datos. Es importante destacar que la entidad financiera es una v\u00edctima m\u00e1s de esta acci\u00f3n maliciosa y que no tiene ninguna relaci\u00f3n con los actores responsables de este enga\u00f1o.<\/p>\n\n\n\n<p>El mensaje que contiene el falso correo informa a la v\u00edctima que los accesos a los distintos canales fueron bloqueados por medidas de seguridad e invita al usuario a restablecer el acceso a su cuenta para volver a utilizar los servicios con normalidad.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-1-1.png\"><img data-opt-id=1221525131  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-1-1.png\" alt=\"\" class=\"wp-image-126583\"\/><\/a><figcaption> <br>Falso correo que llega a la v\u00edctima notificando la suspensi\u00f3n del acceso e invitando a restablecer su acceso.<\/figcaption><\/figure>\n\n\n\n<p>Si un cliente desprevenido recibe este correo y decide acceder al enlace que viene en el cuerpo del correo, se encontrar\u00e1 con una p\u00e1gina completamente clonada de la entidad bancaria, en la que incluso todos los enlaces direccionan al sitio oficial de la empresa o empresas asociadas, salvo el bot\u00f3n de ingreso de usuario y clave.<\/p>\n\n\n\n<p>Tal como mencionamos al comienzo de este art\u00edculo, la particularidad del falso sitio es que cuenta con un certificado, lo cual puede observarse a la izquierda del dominio con un candado cerrado y las siglas https previo al dominio.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-3.png\"><img data-opt-id=110469990  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-3.png\" alt=\"\" class=\"wp-image-126542\"\/><\/a><figcaption> <br>Sitio cuenta con certificado de seguridad .<\/figcaption><\/figure>\n\n\n\n<p>Analizando en profundidad la informaci\u00f3n del certificado observamos que fue emitido por la entidad certificante <a href=\"https:\/\/letsencrypt.org\/\" target=\"_blank\" rel=\"noreferrer noopener\">Let\u00b4s Encrypt<\/a>, la cual brinda los mismos de manera gratuita e inclusive permite ocultar la informaci\u00f3n del propietario del certificado.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-4.png\"><img data-opt-id=540821399  data-opt-src=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-4.png\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-126543\"\/><\/a><figcaption> <br>Certificado emitido por Let\u00b4s Encrypt <\/figcaption><\/figure>\n\n\n\n<p>Lo que llama la atenci\u00f3n es lo nuevo de la emisi\u00f3n, ya que fue realizada cinco d\u00edas previos al an\u00e1lisis. Esto nos llev\u00f3 a investigar m\u00e1s a fondo el dominio al cual redireccionaba el correo malicioso, y en l\u00ednea con el certificado, verificamos que el mismo tambi\u00e9n hab\u00eda sido creado recientemente y ocultaba los datos de la entidad registrante.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-5-1.png\"><img data-opt-id=585588553  data-opt-src=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-5-1.png\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-126586\"\/><\/a><figcaption> <br>Informaci\u00f3n del dominio. <\/figcaption><\/figure>\n\n\n\n<p>Todo esto muestra la sofisticaci\u00f3n de los responsables detr\u00e1s de este ataque, que buscan maximizar la efectividad del mismo en su intento de lograr vulnerar los cuidados que pueden tener los usuarios a la hora de buscar, entre otras cosas, que el sitio sea seguro, que el dominio tenga alguna referencia (no en este caso) o una coherencia con el mensaje recibido; como en este caso que el dominio hace una clara referencia al desbloqueo de las cuentas.<\/p>\n\n\n\n<p>Si el usuario cae en el enga\u00f1o, accede a la p\u00e1gina e ingresa su n\u00famero de documento y clave (a efectos del an\u00e1lisis incorporamos como documento 1111 y clave 111 y sin ninguna verificaci\u00f3n lo tomo como valido), se encontrar\u00e1 con la siguiente p\u00e1gina, en la cual los cibercriminales intentar\u00e1n dar un paso m\u00e1s e intentar\u00e1n robar los datos de la tarjeta de cr\u00e9dito o d\u00e9bito de la v\u00edctima.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-6-1.png\"><img data-opt-id=1516027510  data-opt-src=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/phishing-banco-colombia-6-1.png\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-126587\"\/><\/a><figcaption> <br>Instancia en la que se solicita a la v\u00edctima que ingrese los datos de su tarjeta de cr\u00e9dito y\/o d\u00e9bito.<\/figcaption><\/figure>\n\n\n\n<p>Posteriormente, pese a que se ingresaron datos completamente incoherentes con la informaci\u00f3n solicitada, el sitio los valida como correctos.&nbsp;Una vez finalizado este proceso, el usuario ser\u00e1 redirigido a la p\u00e1gina oficial y real de la entidad financiera en cuesti\u00f3n. Vale la pena mencionar que durante el an\u00e1lisis de la campa\u00f1a no se detectaron segundas intenciones (como puede ser la instalaci\u00f3n adicional de alg\u00fan malware), por lo que se interpreta que solo busca robar informaci\u00f3n de credenciales y tarjetas de cr\u00e9dito a partir del ingreso de la v\u00edctima a trav\u00e9s del falso sitio.<\/p>\n\n\n\n<p>Este tipo de ataques demuestra que los usuarios deben estar cada vez m\u00e1s atentos a la hora de navegar por Internet y sobre todo al momento de decidir hacer clic o no sobre un enlace. Con respecto de los certificados de seguridad, se recomienda que los mismos sean a nombre de las entidades respectivas, como se puede observar en nuestro sitio. Al tratarse de un certificado emitido a nombre de la empresa responsable del domino, no solo se puede observar el candado, sino a la derecha del mismo se observa el nombre de la firma.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/eset.png\"><img data-opt-id=1798735394  data-opt-src=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/06\/eset.png\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-126529\"\/><\/a><figcaption> <br>Ejemplo de certificado de seguridad leg\u00edtimo con el nombre de la empresa a la derecha del candado.<\/figcaption><\/figure>\n\n\n\n<p>Si bien esto no es limitante, ya que como vimos en este caso la entidad financiera no tiene el registro de certificado de esta manera en su sitio oficial, recomendamos a los usuarios tener en cuenta estos puntos a la hora de navegar por la red y evitar siempre acceder a enlaces que llegan por cualquier sistema de mensajer\u00eda. Recordar tambi\u00e9n que ante la duda acerca de la veracidad de un mensaje de este tipo, es aconsejable acceder de manera manual al sitio oficial y verificar de esa manera la informaci\u00f3n.<\/p>\n\n\n\n<p>En caso de que una empresa necesite informar este tipo de eventos a sus usuarios, lo m\u00e1s probable es que publique un comunicado en su sitio oficial o bien que aparezca el mensaje al momento de ingresar al sistema de banca online. Ninguna empresa deber\u00eda solicitar a trav\u00e9s del correo el ingreso de datos personales como claves, n\u00fameros y c\u00f3digos de seguridad de tarjetas de cr\u00e9dito o d\u00e9bito.<\/p>\n\n\n\n<p>Para m\u00e1s informaci\u00f3n recomendamos la lectura de los <a href=\"http:\/\/www.itechsas.com\/blog\/seguridad\/claves-para-reconocer-el-phishing\/\">consejos para evitar el phishing<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Campa\u00f1a de phishing dirigida a usuarios de Colombia suplanta identidad de reconocido banco con el objetivo de robar credenciales de acceso y datos de las tarjetas de cr\u00e9dito y d\u00e9bito. Los cibercriminales siguen avanzando en sus t\u00e9cnicas de ingenier\u00eda social. Prueba de esto es que a partir de un correo que lleg\u00f3 al laboratorio de&hellip;<\/p>\n","protected":false},"author":1,"featured_media":1612,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[90,34,54,89],"class_list":["post-1611","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-cibercriminales","tag-ciberseguridad","tag-phishing","tag-suplanta"],"nelio_content":{"autoShareEndMode":"never","automationSources":{"useCustomSentences":false,"customSentences":[]},"efiAlt":"","efiUrl":"","followers":[],"highlights":[],"isAutoShareEnabled":true,"networkImageIds":[],"permalinkQueryArgs":[],"series":[],"suggestedReferences":[]},"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/1611","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=1611"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/1611\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/1612"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=1611"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=1611"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=1611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}