Dos ejemplos de phishing que están circulando (MMS falso y bancario)

Los siguientes son un par de ejemplos de phishing que he recibido en las últimas horas.

El primero de ellos se hace pasar por una entidad bancaria para solicitar los datos de los clientes en una página falsa. El contenido del mensaje es una imagen que simplemente enlaza a un destino sospechoso, como se puede apreciar en la siguiente captura:

correo falso banco

Correo falso que simula ser enviado por el banco

La web falsa del banco ya fue dada de baja, pero es posible que los atacantes levanten otra para aprovechar el enlace redireccionador. Si bien a simple vista el engaño no es difícil de detectar… como regla general al recibir alguna notificación del banco lo ideal es acceder directamente a la web escribiendo la URL en el navegador, nunca por medio de los enlaces o archivos que se reciban.

El segundo ejemplo tiene un diseño mucho más pulido, simula ser un mensaje multimedia (MMS) enviado por una chica. Para verlo hay que hacer clic en un enlace que termina descargando un troyano llamado ver_mensaje.exe:

mms correo falso mensaje

El dominio utilizado para este ataque se parece mucho al de Movistar, pero no pertenece a la empresa, fue registrado el pasado 5 de diciembre (ver whois) y aún se encuentra activo, aunque algunos filtros ya lo están bloqueando (por seguridad procura no entrar).

index of movistar mms

El archivo que se descarga es un troyano que infecta el sistema para robar información y convertirlo en un bot, es decir un equipo que forma parte de una botnet. La siguiente es una captura de VirusTotal:

analisis ver_mensajes virustotal

Para que el engaño sea más creíble al troyano le han agregado un icono personalizado como se puede ver en la siguiente captura:

troyano mms

No aparece la extensión .exe del archivo porque por defecto en Windows la visualización de las extensiones se encuentra desactivada. Por seguridad es bueno activarlas para al menos saber qué tipos de archivos se están abriendo.

Recuerda tener sentido común con los correos que recibas y mucho cuidado con los enlaces

Anuncios

Acerca de sadcastelao

Blog Seguridad Informática

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: