por Enrique García

 

¿Cómo identificar ataques de phishing para no caer en este tipo de engaños digitales?

Anteriormente identificamos ejemplos de correos de phishing relacionados a temas de salud y que aprovechaban el contexto de pandemia para engañar y motivar la descarga o click a enlaces maliciosos. Ver texto aquí: Ejemplos de phishing Parte I.

Ahora que estamos en la temporada de compras de fin de año, te recomendamos estar alerta a los ataques de phishing. Al igual que el volumen anterior, aquí te mostraremos campañas recientes de phishing y algunas de años anteriores con el fin de que podamos identificarlas y prevenir a familiares y amistades. Para las personas con interés en los aspectos técnicos, agregaremos esta publicación reciente de mrd0x; donde se muestra una técnica en la que se aprovecha el uso del modo aplicación en navegadores como Google Chrome, así estaremos al tanto de las técnicas novedosas en el mundo del phishing.

1. Ofertas de belleza

Fuente: https://ermprotect.com/blog/spot-the-phish-black-friday-scams/

¿Encuentras algo raro en esta imagen? Todo parece estar en orden. Sin embargo, el código QR de la parte superior derecha es lo que delata que se trata de phishing, en teoría debería de contener un enlace para descargar una aplicación.

Detalles cómo este, así como faltas de ortografía o direcciones web sospechosas, son indicadores que encienden la alerta sobre la legitimidad del contenido. Recordemos que el phishing busca suplantar identidades.

Este es un ejemplo de años anteriores, con el cual, desafortunadamente, no pudimos interactuar para saber cuál era su objetivo o qué técnicas utiliza. Sin embargo, no descartamos la idea de que el sitio buscaba hacer que las personas visitaran una tienda falsa, donde se buscaba robar información financiera.

2. Mercado libre

Fuente: https://media.kasperskydaily.com/wp-content/uploads/sites/88/2018/11/23103809/black-friday-phishing-2018-8.png 

¿Puedes detectar por qué este sitio es phishing?

Para empezar, este es el nombre correcto en portugués de “mercado libre”, así que la “v” no es una falta de ortografía. Al revisar el contenido de la página podemos ver que el diseño del formulario para ingresar no se parece al de la página original, por lo que está página comienza a ser sospechosa.

Luego, al analizar la dirección web, notarás que contiene mercadolivre-blackfriday.omAAA[.]com, esto indica que se trata de phishing, porque la dirección web pertenece al dominio omAAA[.]com mientras que el segmento mercadolivre-blackfriday es el subdominio de la página, para el caso de la página legítima, mercadolivre.com.br es el dominio.

La técnica anterior: tener un dominio como omAAA.com, y luego crear un subdominio mercadolibre.omAAA.com, es bastante usual en los ataques de phishing, ya que es más rentable adquirir el dominio omAAA.com que mercadolibre.net

Este sitio fue detectado por Kaspersky en 2018, para este caso podemos asumir que la campaña buscaba obtener correos y contraseñas de personas de Brasil. En caso de que fuésemos víctima de un ataque como este, tener activada la verificación en 2 pasos podría evitar que ingresaran a nuestra cuenta.

3. Ofertas de Amazon

Fuente: https://media.kasperskydaily.com/wp-content/uploads/sites/88/2018/11/23103736/black-friday-phishing-2018-7.png 

Las ofertas suelen ser un gancho para que bajemos la guardia y demos clic en un enlace. Por esta razón, los anuncios en redes sociales o páginas de internet, suelen ser un medio común para esparcir campañas de phishing (incluso cuando parecen ser confiables).

Al igual que en los casos anteriores, es muy importante verificar toda la dirección web del sitio al que ingresamos. En este sitio, la URL no corresponde al original de amazon.com, de hecho, en la imágen, amazon es el subdominio y big-billion es el dominio del sitio.

Ejemplos como este buscan recolectar correos electrónicos, contraseñas o datos bancarios a través de los campos de registro de inicio de sesión o similares.

4. Animaciones

En este último ejemplo, recibimos en nuestra bandeja de entrada un correo con el título “Reminders: account suspended”, “Recordatorio: cuenta suspendida”. En este se adjuntaba un documento PDF que nos solicitaba renovar nuestra membresía de Amazon, dando clic en un botón de “Inicia sesión”.

Al ingresar a la página nos sorprendió que se mostraba algo que no era exactamente una página web, en esta se iniciaba un CAPTCHA que se verificaba automáticamente. Prestando más atención a la dirección web, identificamos que se trataba de un documento de google. De hecho, el CAPTCHA era una animación que se repetía.

En caso de dar clic en el botón “Continue”, redireccionaba a una página web a través de una búsqueda en Google, la cual, al momento del análisis, se encontraba dada de baja.

Este fue uno de los casos más peculiares que nos encontramos en esta edición, ya que los documentos adjuntos no estaban marcados como maliciosos. Los enlaces se dirigían a plataformas y sitios confiables, razón por la que no eran identificados por los sistemas automatizados.

Recomendaciones finales

Independientemente de la fecha o temporada, tengamos presente que los ataques de phishing, buscan aprovecharse del comportamiento y las emociones humanas; por lo que al recibir correos que nos preocupen o alerten, así como ofertas “irresistibles” que no podamos dejar pasar; recordemos: dudar y luego analizar a detalle.

Como siempre, procura tener un navegador web actualizado, utilizar un antivirus (para que te proteja de los archivos maliciosos comunes), y prestar atención a la dirección URL, así como elementos del sitio o anuncios de internet.

No olvides compartir a seguridad@socialtic.org tus comentarios, dudas y ese correo o mensaje de phishing que te llegó, pero no has visto en el primer o segundo volúmen de “Ejemplos de Phishing”; con esto podemos alertar a otras personas y evitar que caigamos en este tipo de engaños digitales.

Share This