Empieza el año 2022 pero, al igual que otros años, las campañas de phishing no cesan. ESET, compañía pionera en protección antivirus y experta en ciberseguridad, ha descubierto numerosos correos que se hacían pasar por dos entidades bancarias que operan en España, como son Ibercaja y Liberbank. El formato del mensaje era similar en ambos casos, con el logo de la entidad bancaria suplantada y un mensaje en el que se alertaba de algún problema de seguridad con nuestra cuenta o entidad bancaria.
Ibercaja y Liberbank son los ganchos de una campaña para suplantar la identidad y accader a cuentas y tarjetas de los usuarios
En los correos suplantando a Ibercaja, por ejemplo, se informaba al receptor de que nuestra tarjeta bancaria sería suspendida a menos que revisáramos el problema pulsando sobre el enlace que nos proporcionan.
Por su parte, los emails que suplantaban a Liberbank hacen referencia a la desactivación de nuestra cuenta, debiendo confirmar nuestra identidad y autorizar unos supuestos pagos pendientes en otro enlace proporcionado en el correo. Un dato importante es que ambos correos estaban enviados desde la misma dirección de correo electrónico perteneciente a un dominio belga.
El uso del mismo correo electrónico y el empleo de una plantilla similar para el cuerpo del mensaje, unido a la proximidad en el tiempo de ambas campañas, son indicativos claros de que detrás de ellas se encuentran los mismos responsables, algo que podemos terminar de confirmar al analizar las webs de phishing preparadas para engañar a los usuarios que muerdan el anzuelo.
Revisando las webs fraudulentas
La técnica que los delincuentes utilizan para llevar a los usuarios a las webs de phishing preparadas consiste en intentar que pulsen sobre el enlace que se incluye en el correo. Sin embargo, este enlace no apunta directamente a las webs maliciosas, sino que primero dirige a un dominio generado de forma aleatoria y usando el servicio Clickfunnels y, seguidamente, realiza una redirección a una web comprometida que utiliza el gestor de contenidos WordPress y está alojada en el servicio EasyWP.
En el caso de Ibercaja, vemos como los delincuentes utilizan el color corporativo y el logo de la entidad bancaria en una web que solicita el código de identificación y la clave de acceso para tratar de convencer al usuario.
Lo mismo sucede en el caso del phishing a Liberbank, donde también se redirige a una web comprometida alojada en EasyWP que imita la identidad corporativa de la entidad y solicita que se introduzca el nombre de usuario y la contraseña utilizada para acceder a los servicios de banca online.
Cabe destacar que las dos webs que han sido comprometidas por los delincuentes cuentan con certificado de seguridad válido y por eso se muestra el candado al lado de la URL. Esto puede llegar a confundir a algunos usuarios, pensando erróneamente que se encuentran ante una web segura cuando, en realidad, el certificado de seguridad solo se encarga de comprobar que la conexión es segura, no que la web lo sea.
Tras introducir las credenciales de acceso, lo siguiente que solicitan los delincuentes son los datos de la tarjeta de crédito, con todos los datos necesarios tanto para realizar compras online como para pagar en establecimientos y retirar dinero en efectivo desde un cajero.
Podemos observar cómo se utilizan plantillas diferentes dependiendo de la entidad suplantada, tratando de hacerlas lo más creíbles posible de cara a las víctimas, incluyendo logotipos de las entidades suplantadas y supuestos enlaces a otras partes de la web que, en realidad, no llevan a ningún sitio.
Por último, y conocedores de las medidas de seguridad implementadas por la mayoría de bancos desde hace tiempo, en el último paso se solicita el código de seguridad que los bancos suelen enviar a sus usuarios cuando tratan de realizar una operación bancaria que implica movimiento de dinero.
En este caso, cada banco suplantado cuenta con su propia plantilla para solicitar este código, y es muy posible que si alguna víctima ha llegado hasta este punto, no tenga ningún problema en introducir el código de seguridad. Esto permitirá realizar transferencias de dinero desde la cuenta de la víctima hasta otras cuentas, normalmente controladas por muleros que, posteriormente, reenvían el dinero robado a los delincuentes a cambio de una comisión.
En este punto es importante destacar que las plantillas observadas en las webs fraudulentas son muy similares a otras ya vistas previamente en campañas anteriores de phishing a Ibercaja y Liberbank. Esto puede ser una prueba clara de que los delincuentes están utilizando un kit de phishing similar, aunque en esta ocasión no se hayan tomado la molestia de registrar dominios similares a los originales y hayan optado por comprometer la seguridad de webs vulnerables.