Nueva campaña de phishing dirigida a Ibercaja y Liberbank

  • Actualidad

ESET ha descubierto una nueva campaña de phishing, la primera de este 2022, en la que los ciberdelincuentes intentan suplantar a las entidades bancarias Ibercaja y Liberbank con el objetivo de estafar a las víctimas, una vez conseguidas sus credenciales de acceso, datos de tarjetas de crédito e incluso códigos de seguridad.

Recomendados: 

Atención pública al ciudadano: hacia una relación de 360 grados Evento

Nuevas reglas de seguridad para aplicaciones web y API Leer

La firma de seguridad ha detectado numerosos correos que se hacían pasar por las entidades bancarias Ibercaja y Liberbank. En cambios casos, el formato del mensaje era similar, con el logo de la entidad bancaria suplantada y un mensaje en el que se alertaba de algún problema de seguridad con la cuenta del usuario o entidad bancaria.

En los correos suplantando a Ibercaja se informaba al receptor de que su tarjeta bancaria sería suspendida a menos que revisase el problema pulsando sobre el enlace que se proporcionaba; en los que suplantaban a Liberbank hacían referencia a la desactivación de la cuenta, por lo que el usuario tenía que confirmar su identidad y autorizar unos supuestos pagos pendientes en otro enlace proporcionado en el correo.

Un dato importante es que ambos correos estaban enviados desde la misma dirección de correo electrónico perteneciente a un dominio belga. Esto y el empleo de una plantilla similar para el cuerpo del mensaje, unido a la proximidad en el tiempo de ambas campañas, son indicativos claros de que detrás de ellas se “encuentran los mismos responsables, algo que podemos terminar de confirmar al analizar las webs de phishing preparadas para engañar a los usuarios que muerdan el anzuelo”, asegura ESET.

La técnica que los delincuentes utilizan para llevar a los usuarios a las webs de phishing preparadas consiste en intentar que pulsen sobre el enlace que se incluye en el correo. Sin embargo, este link no apunta directamente a las webs maliciosas, sino que primero dirige a un dominio generado de forma aleatoria usando el servicio Clickfunnels y, seguidamente, realiza una redirección a una web comprometida que utiliza el gestor de contenidos WordPress y está alojada en el servicio EasyWP.

En el caso de Ibercaja, ESET explica como los delincuentes utilizan el color corporativo y el logo de la entidad bancaria en una web que solicita el código de identificación y la clave de acceso para tratar de convencer al usuario. Lo mismo sucede en el caso del phishing a Liberbank, que sigue el mismo patrón y redirige a una web comprometida alojada en EasyWP.

Los especialistas de la compañía de seguridad destacan que las dos webs que han sido comprometidas por los delincuentes cuentan con certificado de seguridad válido y por eso se muestra el candado al lado de la URL. “Esto puede llegar a confundir a algunos usuarios, pensando erróneamente que se encuentran ante una web segura cuando, en realidad, el certificado de seguridad solo se encarga de comprobar que la conexión es segura, no que la web lo sea”, explican

Tras introducir las credenciales de acceso, lo siguiente que solicitan los delincuentes son los datos de la tarjeta de crédito, con todos los datos necesarios tanto para realizar compras online como para pagar en establecimientos y retirar dinero en efectivo desde un cajero.