Desde el día jueves por la noche están llegando correos electrónicos, supuestamente desde la compañía VISA, alertando a los usuarios sobre un problema con su tarjeta y sus pagos. El correo aduce que se han “realizado consumos reiterados y sospechosos en su tarjeta Visa, por lo tanto los servicios prestados por Visa Home seran suspendidos de forma preventiva hasta que realize la verificacion correspondiente”. A continuación, el supueto mail le pide al usuario que ingrese a un enlace donde va a poder realizar un trámite en línea para arreglar el problema.
El enlace que aparece en el correo electrónico dirigía a un sitio falso que imitaba a el sitio de VISA. A continuación, se le pedía al usuario que ingrese su usuario y su contraseña. Luego de que el usuario ingrese los datos, que vale aclarar el sistema reconocía cualquier input de información y no sólo datos verdaderos, se lo trasladaba a otros sitio donde se pedían los datos biográficos (nombre, dirección, fecha de nacimiento). Por último, una tercera pantalla requería que se ingresen los datos de la tarjeta; particularmente, el número de identificación, el código de 3 dígitos y la fecha expiración del plástico.
Cuando el usuario terminó de ingresar esos datos, una cuarta pantalla confirmaba la recepción de los datos para luego, tras clickear en un botón, devolver a la víctima a la home page de su navegador.
Cómo funciona la estafa
Este correo se enmarca en un tipo específico de estafa conocido como Phishing. El término phishing provene de inglés fishing (pescar), porque en estas estafas se trata de “pescar” desprevenido al usuario que, quizás, asustado por un problema con su tarjeta de crédito ingrese sus datos sensibles en un sitio que a primera vista parece un sitio legítimo. Los ciberdelincuentes, luego, tienen toda la información necesaria para clonar la tarjeta o usarla para realizar compras en línea.
En esta caso, según pudo averiguar este medio, la estafa se realizó de forma localizada. Es decir, ya sea que el origen es argentino o que el ataque se planificó para apuntar a usuarios argentinos. “Claramente el ataque está localizado para Argentina. Que el ataque use recursos de páginas de afuera no significa nada ya que se pueden hacer desde cualquier servidor vulnerado”, explica Camilo Gutiérrez Amaya, líder de investigación en la compañía de ciberseguridad Eset, para la región latinoamericana.
Técnicamente, los atacantes aprovecharon un hueco de seguridad en el sitio web de la cadena de hoteles indios jüSTa. Este hueco les permitió a los ciberdelincuentes acceder a la configuración del sitio web casi sin restricciones, como muestra la imágen más abajo.
Una vez dentro, los atacantes plantaron un archivo que se ejecutaba cada vez que la persona ingresaba al sitio a través del link que se envío por mail. Es decir, los atacantes alojaron el sitio “trucho” de Visa en dentro del sitio vulnerado de la cadena de hoteles.
Los atacantes guardaron un archivo ejecutable (posiblemente uno de tipo Shell) en la carpeta donde están las imágenes del sitio web. A continuación, ingresaron código foráneo a la web original que redigiría el tráfico al sitio trucho de Visa: tal y como se ve con la extensión /socios.visa.home/ingreso.
“Es claro que el servidor es vulnerable. Seguramente se trate de una contraseña débil, es muy usual que se use este método para ataques de phishing”, agrega el especialista.
El correo de phishing, envíado desde un cuenta llamada , ya no redirige al sitio falsificado de Visa ni tampoco se pueden localizar los assets de los criminales en el sitio de la cadena de hoteles. Sin embargo, los delincuentes pueden reubicar su script malicioso en otros sitios con vulnerabilidades y repetir el ataque. “Las campañas de phishing tienen una duración muy corta. Cuando alguien la detecta y la reporta ya obviamente deja de ser tan efectiva. Suelen durar 4, 5 o 6 horas”, agrega el experto de Eset.
Fuente: Infotechnology