Buenas,
Aprovechando la migración a Thunderbird 3 he descargado el correo de uno de los pozos de spam con el que tengo la mala costumbre de leer correo basura de vez en cuando.
Me ha sorprendido que en esta época de industrialización de la actividad criminal tecnológica el cutrephishing siga estando vivo. He podido contar hasta 6 mensajes de finales de septiembre que ejemplifican perfectamente que no todo el mundo lleva por bandera la sofisticación. Lógicamente no se trata de un ataque fresco, y de hecho los sitios fraudulentos a los que eran remitidas las credenciales ya no funcionan, pero es un caso curioso que desde luego no suele ser el habitual cuando los amigos de lo ajeno se ponen manos a la obra.
Lo llamativo de este ataque es que es el propio usuario el que tiene que hacerse el phishing a sí mismo. Ni te invitan a seguir un enlace que simula ser la página de tu banco, ni contaminan un sitio legítimo para redirigirte a un sitio malicioso, ni te pretenden colar un troyano financiero con el objetivo de desplumarte. Cualquier cosa vale para tratar de robar datos sensibles, y si no, atentos al ejemplo. Los mensajes de correo fraudulentos que recibe el usuario son similares al siguiente:
El ataque invitaba al usuario a abrir el fichero adjunto y usar el formulario, en este caso, para realizar una hipotética reactivación de su tarjeta. Todo ello en texto plano, y sin look and feel corporativo alguno.
No os creáis que ese fichero es en realidad un downloader camuflado bajo la forma de un fichero HTML. Parte del código de ese fichero es el siguiente:
El adjunto es un triste fichero HTML que pretendía que el usuario introdujese número de tarjeta y PIN:
Lo triste de estos ejemplos es que por muy inverosímiles que parezcan, siempre hay usuarios que acaban picando. No os quepa duda.
Un saludo,
Sergio,
Revisa el formulario que no he podido entrar mi número de tarjeta ni me clave secreta.
:-D
Jorge,
Te contestaría a tu comentario, pero me pillas justo que el banco me está pidiendo por correo que active mi cuenta porque al parecer ha sido desactivada …
Un saludo ;)