El phishing sigue diversificándose

Los phishers siguen su particular batalla para vaciarnos los bolsillos. La última modalidad que he visto, que es relativamente reciente, es el robo de credenciales con la justificación de una devolución de impuestos.

Tranquilos, de momento no es un fraude basado en las devoluciones del Ministerio de Hacienda, sino que el engaño se hace en nombre de la oficina de recaudación de impuestos norteamericana.

El phishing es de los clásicos. Recibes un correo en el que se te informa de una devolución de 63.80 dólares, y te invitan a que acudas a una página a tramitar la devolución (nota: esta página puede dejar de estar activa en las próximas horas, ya que es previsible un cierre del sitio más o menos rápido)

Como era de esperar, la página es un phish en toda regla, en el que se nos piden los datos de tarjeta de crédito, entre los cuales están los códigos CVV y el PIN, para gestionar la presunta devolución de impuestos:

irs phishing

¿Cuanto tardarán en hacer algo parecido en nombre de Hacienda? No creo que mucho. El caso expuesto es bastante creíble, ya que es un segmento del que no se puede hablar y en el que no hay apenas cultura de gestión antiphishing. El email que se recibe está bien redactado, no suscita avisos en la mayoría de configuraciones y el sitio del phishing es claro y sencillo, lo que otorga al engaño un grado de credibilidad interesante para la rentabilidad del ataque.

El ataque lo han lanzado hoy domingo, indicativo de que se pretende aprovechar al máximo la inactividad de los servicios antiphishing norteamericanos, así como la respuesta del ISP donde está alojado el ataque. Y es que los domingos ya se sabe, descansamos la gran mayoría. Menos los malos, claro. Esos no descansan.

La traza de origen lleva, tras 10 saltos a través de la red de Cogent, a una conexión australiana, optus.net.au en la IP 61.88.128.102, que con toda probabilidad está comprometida o tiene un servidor SMTP que permite el relay. Desde ahí se ha lanzado el ataque de correo.

En cuanto al alojamiento del phishing, http://209.197.238.10, es una instalación por defecto Apache (cómo no). La localización parece ser Denver, Colorado.

4 comentarios sobre “El phishing sigue diversificándose

Comentarios cerrados.