Los sitios de phishing se intensifican según se acerca el Mundial

Por TrendMicro

Con el Mundial de 2014 de Brasil tan cerca, no extraña que los sitios de phishing hayan intensificado sus campañas de spam dirigidas a los brasileños.

Algunos de estos funcionamientos spam son bastante básicos. Este, por ejemplo, intenta atraer a los usuarios con un sorteo con un premio de 5 millones de reales brasileños (algo menos de 2,2 millones de dólares).

1

1. Mensaje de phishing de lotería

Un ataque de phishing típico consta de tres fases. En primer lugar, el usuario visita el site de «phishing» donde se recoge su información. En este caso particular, la información robada incluye:

  • Número de tarjeta de crédito
  • Código CVV code
  • Caducidad
  • Nombre del banco emisor
  • Contraseña de banca on line
  • Email del titular
  • En la segunda fase, un archivo PHP almacena toda la información capturada en un archivo de texto almacenado en el site malicioso.

2

2. Código PHP

En este caso en particular, el archivo de texto se denomina CCS.TXT. En la tercera fase, este archivo es enviado por correo electrónico a una dirección bajo el control del atacante.
3

3. Información almacenada

Hemos encontrado otros ataques que utilizan un anzuelo similar,  obviamente más ligados al Mundial de Fútbol. Aquí está un ejemplo que vimos por primera vez hace un mes:

7

4. Sitio de phishing relacionado con la Copa del mundo

Además de la habitual información robada en los ataques de phishing, las personas detrás de esto tienen como objetivo conseguir dos tipos de información que normalmente no suele robarse:

  • El límite de la tarjeta de crédito
  • El DNI

El CPF es un número de identificación de 11 dígitos utilizado para identificar a los contribuyentes (brasileños y extranjeros residentes) en Brasil. Al igual que las tarjetas de crédito, el CPF tiene un formato definido y un algoritmo que comprueba si el número es válido.
¿Cómo de importantes son estos fraudes? A través de nuestro trabajo de campo, hemos sido capaces de identificar el tamaño de la «acumulación» de credenciales robadas que poseía uno de los criminales cibernéticos que utilizan estos ataques. Creemos que este criminal cibernético particular tiene aproximadamente 5.000 tarjetas de crédito disponibles para vender en un momento dado. Algunas de estas tarjetas se identifican con su red (es decir, Visa o Mastercard), mientras que otras se identifican por su banco emisor (se menciona explícitamente Bank of America).
Nuestro criminal cibernético también ha robado muchas cuentas de correo electrónico. Se identificaron más de 80.000 cuentas cuyas credenciales han sido robadas. Es significativo que casi el 83% de estas credenciales proviene de nombres de dominio en el dominio de nivel superior br. Los dominios más comunes de estas credenciales robadas se encuentran en la siguiente tabla:
8

1. Distribución de cuentas de e-mail robados  

Esto no debería sorprender, cuando muchas de estas estafas de phishing están dirigidas explícitamente a los usuarios en Brasil. El primer ejemplo citado aquí utiliza el nombre del mayor operador de tarjeta de pago en Brasil, Cielo. El CPF, como mencionamos anteriormente, es algo emitido solamente a los brasileños o extranjeros que viven en el país. Como es el caso con otras estafas, el spam es la manera elegida para difundir estos ataques a los usuarios.

Estamos siguiendo de cerca a los actores amenaza que hay detrás de algunos de estos ataques y daremos a conocer más información en futuros blogs.

Race to Security hub contiene historias de TrendLabs sobre seguridad relacionadas con grandes eventos deportivos, incluyendo el Mundial de 2014.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.