Ejemplos de phishing – Parte I

por Enrique García

¿Alguna vez te has preguntado cómo luce un ataque de phishing?

Durante la pandemia identificamos ejemplos de correos de phishing con mensajes gancho y enlaces maliciosos en temas de salud que puedes consultar en Phishing en tiempos de COVID-19. Para continuar alertando a la comunidad de este tipo de engaños digitales que buscan infectar y/o robar tu información, compartiremos periódicamente ejemplos comunes de mensajes de phishing que cualquier persona puede recibir, ya que son ataques principalmente enfocados a robo de datos financieros.

Este primer ejercicio con los ejemplos que verás aquí, son casos con los que nos hemos encontrado recientemente (de Mayo a Junio en este 2022). Una vez que los identifiques, podrás recordar si has recibido alguno de estos mensajes y alertar a tus contactos cercanos.

Al final incluimos un ejemplo de ataques de phishing dirigido, como es el caso de campañas de infección selectiva y sofisticada con el malware Pegasus que se ha usado contra personas defensoras de derechos humanos y periodistas.

1. Mensaje de oficina de correos

Este es uno de los mensajes más particulares, porque es enviado por servicios de mensajería masiva. Aquí, el remitente previamente envía mensajes con enlaces con promociones, que parecen confiables, como estos:

Estos enlaces redirigen al portal de una empresa de entregas. Sin embargo el mensaje de la oficina de correos es completamente diferente, pues tiene un enlace sospechoso y que no incluye HTTPS de paso.

Esto se debe a que los mensajes de texto contienen un campo denominado “ID del remitente”, el cual es un identificador formado por un conjunto de letras y números que el remitente puede elegir libremente. Como consecuencia de esto, es posible realizar suplantación de identidad en los mensajes de texto que son enviados mediante servicios de SMS masivos, siempre y cuando el país no requiera verificación del “ID del remitente”. Debido a que el mensaje sospechoso no proviene de un número telefónico, los SMS son agrupados en la misma conversación, dando así la apariencia de que pertenecen al mismo remitente.

En este caso el SMS contenía una dirección que se encarga de redirigir a un portal de paquetería, en él se nos pedía verificar si recibir el paquete en el hogar o en el trabajo, al elegir recibir el paquete en el hogar se nos solicitaba pagar un monto de $2 (no se especificaba el tipo de moneda) para que el pedido fuera entregado. El pago era realizado en un sitio web distinto, con una dirección web bastante genérica que no estaba relacionada de ninguna forma al portal de la paquetería.

Debido a que este es un mensaje de phishing genérico esparcido en países de habla hispana algunas oficinas de correos han alertado en redes sociales de este tipo de mensajes para evitar que más personas sean víctimas de este ataque.

¡ALERTA DE PHISING!
Algunos de nuestros clientes están recibiendo estos SMS suplantando la identidad de #Correos. Por favor, no pinches ningún enlace, no des tus datos y elimina el mensaje. #NoPiques pic.twitter.com/bShzpyFuuJ

— Correos (@Correos) September 6, 2019

2. Mensajes de paquetería

Al igual que el mensaje anterior este busca que entremos al enlace con la excusa de que un paquete no se ha entregado. Si analizamos el SMS notaremos que el mensaje es enviado desde un número particular, tiene un enlace sin HTTPS y el sitio oe0.me no figura entres los servicios de acortamiento de URLs populares, estos son indicadores de que se trata de un mensaje de phishing.

Al momento de ingresar al enlace del SMS, encontramos que se repetía la mecánica de robo de datos financieros del ejemplo anterior (el de la oficina de correos), pues se nos presentaba el sitio de una empresa de paquetería que nos pedía indicar dónde recibir una entrega y luego nos redirigía a la misma página para ingresar nuestros datos financieros con el fin de poder recibir el paquete.

Como dato curioso encontramos que el sitio de la paquetería sólo se mostraba si visitamos el enlace desde una geolocalización de México y si lo hacíamos específicamente desde un teléfono celular (al ingresar desde una computadora redirige a la página principal de Google).

3. Mensajes de ofertas de trabajo

Mensajes de este tipo, donde se ofrecen trabajos suelen ser una fuente de captación de datos personales de quienes responden. A diferencia de los SMS anteriores, estos contienen enlaces que cuando damos clic nos llevan a una conversación de WhatsApp con el número del enlace, sin embargo, esto por sí solo es insuficiente, pues es necesario interactuar con el atacante y voluntariamente compartir nuestros datos personales para que el phishing sea exitoso. 

Los indicadores de phishing para este par de SMS, son muy pocos. En el primero sólo podemos encontrar sospechosa la redacción del mensaje y la palabra “contácteme”. En el segundo lo más evidente es la palabra “Mercad0”, escrita de esta forma porque así se logran eludir a los filtros que clasifican mensajes como “basura” (spam) o “no basura”. Igualmente tomemos en cuenta que las ofertas por trabajo de números desconocidos son otro alarmante indicador de phishing.

Adicionalmente, notamos que en la cuenta de WhatsApp la foto de perfil no nos dice nada acerca de la empresa (no tiene logotipo y la imagen parece de uso común), la cuenta no está verificada (que aparezca una palomita ✔️ en el nombre de perfil) y el estado de WhatsApp no da mayor información de qué servicios proveé ni de quiénes son.

4. Pegasus

Este es un mensaje enviado durante 2015 y 2016 por el grupo NSO, empresa desarrolladora del software espía Pegasus. Dar clic al enlace era el primer paso para infectarse, pues el teléfono celular visitaba el servidor de NSO donde se determinaba su sistema operativo (Android o iOS), de acuerdo a esto se enviaba al celular un “exploit remoto” (un “ataque”) que infectaba el dispositivo instalando Pegasus y dándole “permisos de administrador” al operador del software. Una vez finalizada la infección, el dispositivo se volvía una sanguijuela de información, pues era posible capturar información (grabar audios, tomar capturas de pantalla, actividades de llamadas, etc.) y enviarla de vuelta a los servidores de NSO.

Agregamos este ejemplo para mostrar el tipo de mensajes involucrados en una amenaza más avanzada, como podemos observar, pasan de ser mensajes fáciles de distinguir a casos más elaborados. Puedes encontrar más ejemplos (históricos) en el apéndice A de esta página.

Te recomendamos leer también:

• Tipos de phishing: cómo identificarlos y protegerte

¿Qué puedo hacer para evitar caer en ataques de phishing?

Algunos ataques de phishing son difíciles de detectar, pues bajo el entorno adecuado pueden pasar desapercibidos, por ejemplo, si compramos algo en internet y esperamos recibir un paquete, el mensaje anterior de la “oficina de correos” o de la “paquetería” podrían (mínimamente) hacernos dar clic en el enlace. Por esta razón es importante tener en mente los siguientes puntos:

 

• ¡Aprende a identificar phishing! Si tenemos una idea de cómo se ve el phishing seremos capaces de no caer en este ataque, por ello te recomendamos resolver el siguiente cuestionario de Google para entrenar tus habilidades de detección de phishing: Phishing Quiz
• Evita dar clic a enlaces sospechosos. Si dudas de un enlace te recomendamos usar servicios como Should I click? y VirusTotal los cuales te ayudarán a decidir si un enlace es malicioso o no. En caso de que el resultado sea inconcluso o tengas dudas puedes escribirnos directamente a seguridad@socialtic.org.
• Procura documentar mediante capturas de pantalla, bloquea al remitente de estos contenidos y si te es posible alerta a tu círculo cercano con la evidencia. Te agradeceremos mucho si nos compartes la evidencia al correo seguridad@socialtic.org, así podemos llevar un registro de estos incidentes e informar a la comunidad para estar al tanto de las tendencias en estos ataques.
• Evita proporcionar información personal, financiera o laboral a remitentes desconocidos.
• Mantén el sistema operativo y las aplicaciones de tu celular y computadora actualizados, de esta forma nos aseguramos que no existan fallas o errores que puedan ser aprovechadas por atacantes.
• Descarga y utiliza un antivirus en tus dispositivos, pues estos ayudan evitando que entremos a direcciones web sospechosas o descarguemos archivos maliciosos. Dos antivirus que usamos y recomendamos son AVG y Avira.