[05/02/2014]
Kaspersky Lab alertó sobre una serie de correos
phishing y páginas engañosas que buscan estafar a los usuarios haciéndose pasar por promociones o sitios legítimos de venta de entradas a los diferentes partidos de la Copa Mundial en Brasil. Los analistas de Kaspersky Lab vienen monitoreando estos ataques por casi un año, ya que delincuentes no han perdido tiempo en lanzar sus campañas maliciosas. Esta vez los cibercriminales han registrado dominios fraudulentos y han invertido para que estos aparezcan entre los resultados patrocinados en motores de búsqueda como Google para atraer a la mayor cantidad de víctimas.
Cibercriminales buscan engañan a sus víctimas con dominios fraudulentos.
Según Fabio Assolini, analista de investigación senior en Kaspersky Lab, los productos de Kaspersky Lab bloquean entre 40 y 50 dominios phishing relacionados con el Mundial de Fútbol a diario. Este número suele crecer los fines de semana, especialmente los viernes.
“Todos estos ataques están utilizando a la Copa Mundial como gancho y la mayoría de ellos están enfocados en usuarios brasileros utilizando nombres de tarjetas de crédito, bancos y tiendas por departamento locales para atraer a sus víctimas. Usuarios de otros países también deben de estar atentos a estas estafas, ya que anticipamos que los cibercriminales extenderán sus ataques, especialmente a países de América Latina, para aprovechar la fiebre del Mundial y así aumentar sus ganancias”, informó Assolini.
Similarmente, las campañas de correos phishing también han ido aumentando y ahora ofrecen dinero en efectivo, boletos y hasta viajes gratis para incentivar a los usuarios a que hagan clic en sus enlaces. El gancho está que para poder “ganarse el premio” el usuario debe ingresar información personal y un número de tarjeta de crédito para poder inscribirse.
Correo phishing por el Mundial de Fútbol.
Assolini advierte que usuarios brasileros, en especial, deben de tener cuidado con regalos y sorteos falsos ya que varias compañías locales estarán realizando promociones legítimas y esto podría causar confusión.
“Entre más cerca estemos del inicio de la Copa Mundial veremos más y más campañas de correo phishing y páginas fraudulentas que buscan de alguna manera robar el dinero de los usuarios. No cabe duda que los cibercriminales se la ingeniarán para engañar y estafar a más víctimas. Ellos son motivados por el dinero así que los métodos y tácticas que estos emplearán para obtenerlo no tiene límite”, agregó Assolini.
El ejecutivo recomienda visitar directamente el sitio oficial de las empresas que se señala promueven estos productos y verificarlos allí.
Correos fraudulentos
En la misma línea,
Symantec también ha detectado varios correos fraudulentos relacionados con el Mundial de fútbol. El primer ejemplo de fraude que Symantec identificó es un correo electrónico que contiene un vínculo a un código malicioso.
Ataque de código malicioso relacionado con el Mundial de la FIFA.
En él, se invita al usuario a hacer clic en el enlace para imprimir el boleto al partido. Pero éste lleva a un URL malicioso que descarga un archivo adjunto llamado eTicket.rar y que contiene el programa ejecutable: eTicket.exe, como se muestra en la imagen a continuación.
Imagen del archivo adjunto (malware) que se descarga al hacer clic en la liga.
Al ejecutarlo, se instala el archivo thanks.exe en el directorio de Programas/Inicio y se activa un troyano en constante evolución Infostealer.Bancos, y ese archivo continuará funcionando en segundo plano sin que el usuario lo note. Luego, tratará de evadir las medidas de seguridad, robar información financiera confidencial, registrar los datos recolectados y finalmente los enviará al atacante remoto. Symantec ha descubierto también que el malware está dirigido especialmente para las instituciones financieras brasileras.
Otro ejemplo de engaños en Internet relacionados con este tema es una supuesta promoción de la marca CIELO en Brasil. CIELO es un operador de tarjetas de crédito y débito en Brasil.
Phishing por correo electrónico relacionado con el Mundial 2014.
El mensaje traducido es el siguiente:
“Felicidades, has sido elegido para formar parte de la Copa Cielo 2014.
Para promover el Mundial 2014, debes registrarte para competir por premios que valen 20 mil reales. Boletos, hospedaje en lugares exclusivos durante el mundial 2014 y también podrías ganar un Fiat Doblo 0 Km (sic)
No pierdas tiempo! COMPRA Regístrate ahora sin costo extra y obtén los beneficios de nuestra promoción.
Únete a esta Mega Promoción y compite por estos Super Premios.
Da clic aquí para obtener tu código de promoción”
Al dar clic en el enlace dentro del correo, la página redirige al usuario a:
http://cielobrasil2014l.fulba.com/copa,fuleco.dll/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html
Entonces la página de Internet solicita al usuario ingresar su nombre, fecha de nacimiento y el número de identificación fiscal de Brasil (Cpf).
El URL del phishing abre la página de Internet alterada y solicita datos personales.
Al proporcionar la información, el usuario es dirigido a la página que mostramos abajo que solicita los datos bancarios de los usuarios.
La página de Internet alterada solicita datos bancarios.
En un análisis más profundo encontramos que el dominio conteudo.casavilaverde.com está hackeado y se muestra como:
El dominio del URL en el correo está hackeado.
Como medida preventiva para los usuarios, Symantec recomienda no compartir información personal o confidencial, ser precavido al recibir correos no solicitados, inesperados o sospechosos, evitar dar clic en ligas incluidas en correos sospechosos, no solicitados o inesperados, evitar abrir archivos adjuntos en correos no solicitados, mantener actualizado el software de seguridad, y actualizar las firmas antispam de forma periódica.
CIO, Perú