NOTIFICACIÓN EVENTOS DE AMENAZA> Eventos de phishing masivo reportados en Julio 2019

  • 0
  • 5 julio, 2019

header jul 2019

Descripción del evento o vulnerabilidad

Nombre Evento/vulnerabilidad Numero de CVE (si aplica)
Phishing dirigido a teléfonos celulares N/A

En lo que va transcurrido del mes de julio, se han reportado diversos ataques vinculados al phishing como medio para la obtención de datos sensibles de empresas y/o usuarios particulares, y el posterior robo de dinero a los mismos.

Análisis

La campaña mas reciente reportada hace referencia a la suplantación de identidad de una entidad financiera internacional, Scotiabank. Los vectores de amenaza indican que el ataque se encuentra dirigido a teléfonos celulares, de modo que, si ingresamos al dominio web en un ordenador, el sitio (que se presentara como un sitio oficial de la entidad) nos indicara que la web solo funciona por medio de dispositivos móviles.

Si el usuario cae en la trampa, el sitio nos brindara la posibilidad de ingresar al homebanking en modo “empresa” o “persona”. Luego de esto, nos solicitara las credenciales de la cuenta con lo cual una vez ingresadas, el ataque habrá culminado y nuestros datos bancarios se encontraran en la base de datos del atacante.

PHISHING1

La información obtenida respecto a este caso indica que si bien el servidor web se encuentra dado de baja (Actualmente el sitio se encuentra inactivo) este podría ser puesto en funcionamiento en cualquier momento nuevamente, ya que el servidor aún continúa respondiendo. Debido a esto, se deberá tener sumo cuidado con cualquier tipo de correo proveniente de la entidad en la cual se nos indique un link explicito hacia un sitio.

IOC:

scotiasmss[.]com

www[.]scotiasmss[.]com

187[.]17[.]111[.]47

http://www[.]scotiasmss[.]com[/]choose[.]php

https:/www[.]scotiabankchile[.]cl-Scotiabank-Azul-home/?sid=x

Además, se ha identificado a través de los indicadores que el sitio se encuentra alojado en San Pablo, Brasil.

Un segundo caso reportado hace en el mes de julio, ubica a la empresa Movistar siendo víctima de suplantación de identidad a través de correos electrónicos los cuales solicitan al usuario credenciales bancarias con el argumento de otorgar un “reembolso” al usuario.  El correo solicita que este se ingrese a un sitio y se coloquen los datos bancarios para realizar la transacción.

PHISHING2

IOC:

http://www[.]movistarclientes[.]com

Tareas de mitigación

La mejor manera de combatir estos intentos de ataque es capacitar al usuario final para que el mismo logre identificar el fraude, pero, si bien esta es la manera ideal, siempre es necesario tener herramientas que apoyen a la causa ya sea dentro del contexto de una empresa o como usuario final. Existen herramientas de protección dedicadas que poseen la inteligencia suficiente como para identificar este tipo de ataques y web/correos maliciosos.

Conclusiones y recomendaciones

Si bien la detección de sitios falsos puede resultar un tanto difícil para usuarios comunes, se deben tener en cuenta una serie de aristas las cuales, para este y cualquier otro caso, ayudara a detectarlos:

1. Verificación de certificado SSL. Para verificar la existencia de este, debemos revisar en la parte superior del navegador, donde nos aparece el link del sitio donde estamos conectados. Una vez allí debemos verificar que el sitio comience con https://. Si el dominio comenzara con http:// es un indicador de que el sitio no está validado por una entidad certificadora en la cual cualquier navegador confié.

Toda entidad financiera por protocolos y normas deben tener este y más certificados para la comunicación web, es decir, si ingresamos a un dominio que creemos corresponde a un banco o entidad financiera, debe tener este certificado sin falta.

2. Comportamiento extraño. Debemos aprender a detectar los comportamientos o solicitudes incoherentes. ¿A que nos referimos al hablar de esto? Sitios de homebanking, de telefonía, ISP, etc, todos aquellos sitios que posean una instancia de registro o logon son potencialmente el destino de un intento de suplantación de identidad con el objetivo de capturar información de usuarios. Sin embargo, un sitio como los antes mencionados, nunca nos obligarían a utilizar el teléfono móvil como único medio de conexión, o nos solicitarían con urgencia ingresar datos críticos para salvaguardar alguna cuenta asociada ni por medio de un correo electrónico solicitarían datos de tarjetas de crédito o bancarios.

3. Desconfiar como primera medida. Si una página solicita datos sensibles sea de la persona o de la empresa, se debe desconfiar de la misma, y se debe realizar un análisis con la información antes mencionada. También es posible comunicarse con la entidad correspondiente por algún otro medio para consultar sobre la veracidad del sitio y el dominio oficial.

 

Los indicadores de compromiso extraídos:

  • scotiasmss[.]com
  • www[.]scotiasmss[.]com
  • 187[.]17[.]111[.]47
  • http://www[.]scotiasmss[.]com/choose[.]php
  • https:/www[.]scotiabankchile[.]cl-Scotiabank-Azul-home/?sid=x
  • lasherramientasexpress.es
  • herramientasexpress.es
  • lasherramientasexpress.com
  • herramientaexpress.es
  • abrilclimatizaciones.es
  • fitairs.es
  • humblebundles.es
  • martinclima.es
  • greenmangamings.es
  • decormara.es
  • nokeys.es
  • hrkgame.es
  • handtec.es
  • mobilefixtienda.es
  • movileos.com
  • simplygames.es
  • instantgaming.eu
  • instantgaming.co
  • may-movil.com
  • argosshop.es
  • may-movil.es
  • instantgamings.es
  • mrsneaker.es
  • 365games.es
  • toolstops.com
  • navia-center.es
  • mrmemory.co
  • kasmani-electrodomesticos.es
  • offtek.co
  • gamelooting.es
  • kinguins.com
  • gamyvo.com
  • movilines.co
  • xtralifes.com
  • entradasdechampions.com
  • mielectro.co
  • movil-planet.com
  • ssensetienda.com
  • press-starts.com

Fuentes

https://www.eldiariodelapampa.com.ar/index.php/portada/88-grilla/63078-el-banco-de-la-pampa-alerta-por-phishing

https://as.com/meristation/2019/07/05/betech/1562324312_153051.html

https://www.eleconomista.es/tecnologia/noticias/9974300/07/19/Movistar-avisa-de-una-campana-de-phishing-que-se-hace-pasar-la-compania.html

https://www.eleconomistaamerica.cl/telecomunicacion-tecnologia-cl/noticias/9978426/07/19/Chile-es-el-tercer-pais-de-America-Latina-mas-afectado-por-ataques-de-por-phishing-en-2018.html

https://www.theclinic.cl/2019/07/03/chile-aparece-entre-los-10-paises-mas-vulnerables-al-phishing-del-mundo/

https://searchdatacenter.techtarget.com/es/opinion/Las-campanas-de-phishing-evolucionan-en-2019

Para más información sobre como proteger tu información sobre esta y otras amenzas, no dudes en contactarnos: expertos@ransecurity.com

Leave a Reply

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764