Phishing bancario con Ruralvia de Caja Rural

Firma invitada: Inmaculada López Gutiérrez @inmaculadalogu

En esta ocasión tenemos el placer de contar con la colaboración de Inmaculada López Gutiérrez, a la que agradecemos su investigación y redacción de este interesante post sobre phishing bancario. ¡Gracias Inmaculada!


Me estreno como “bloguera” tras recibir, cuando iba dispuesta a descansar un ratito, un correo “con premio” como los hackers a quienes sigo dicen. Reconozco que a quienes no lo somos, a veces nos cuesta seguir las enseñanzas de los mismos, así que quizá por ello, pueda ser útil el contar lo ocurrido desde la visión de una persona no experta en seguridad como yo. Más que empezar contando el contenido de este email recibido, mucho más claro queda si lo muestro tal cual:

Phishing bancario

Al leerlo, y gracias a todos los consejos de estos “Grandes”, desconfié de inmediato de ese enlace, sobre todo, como siempre bien dicen, usando el sentido común: Mi banco jamás me pediría que realizase una verificación tal a través de un correo, y mucho menos, pinchando en un enlace. Pero debo reconocer que me asombró el perfecto español con el que estaba escrito, y el buen formato de la dirección de correo electrónico que, ya que lo leí en el teléfono móvil, no me mostraba el dominio de la misma. Eso si, al pulsar para verla por completo, ese dominio que nada tiene que ver con la entidad bancaria, viene a ser un nuevo indicio de que es un correo “con premio”.

Picada por el bichillo de la curiosidad que esto de la seguridad informática tiene y siguiendo los consejos recibidos por uno de estos expertos en sus charlas, fui a usar las que él mismo llamó Técnicas Sencillas de Análisis de Malware, todas ellas online.

En primer lugar, fui a VirusTotal para comprobar si la URL donde me indicaban que picase, estaba infectada. El resultado fue que VirusTotal y similares no detectaban la web como peligrosa porque no contenía ningún código malicioso, pero curioso, una persona ya había hecho un análisis de la misma, hacía unos 20 minutos.

Phishing bancarioPuesto que la URL estaba limpia, fui a ver que había en ella. Por supuesto, NUNCA haciendo clic en el enlace del correo, sino tecleando en mi navegador. Me llevé una sorpresa, que aunque esperada, me hizo darme cuenta de que lo que estos Hackers nos cuentan continuamente, no es ficción y que, eso que todos pensamos de que “a mí no me pasan esas cosas”, se desmontaba por completo, ¡SI QUE PASAN! Se trata de un formulario Web que simula ser el de la Web original del banco. Phishing “puro y duro”. He aquí la muestra de ambas:

Phishing bancarioPhishing bancario

Como veis, la URL se redirige a otra que intenta ser parecida a la real y el portal, salvo el botoncito de “Ver Demo” que posee la falsa web (con el que reconozco me he quedado con ganas de pulsar) es idéntico. Eso sí, nada de https, ni de “candados” indicándonos los certificados del sitio y mostrándonos información de que la conexión está cifrada, como ocurre en la real.

Seguí mi investigación con Anubis por ver si había algo más sospechoso y urlquery para conocer la procedencia de la URL. La Web “falsa” está alojada en el servidor Web legítimo de una clínica de salud dental americana, que, probablemente con total desconocimiento de ello, ha sido víctima de un ataque a su Web para alojar en este caso, una Web de Phishing. Y bueno, llegado a este punto, ya me perdí entre tanto dato técnico que dejo mejor para los expertos, porque para mí, con lo ya visto, poseía suficientes pruebas de que era un intento de Phishing.

Procedí reportando vía e-mail a los dueños legítimos de la Web para que pudiesen eliminar dicho código y de esa forma no ser «cómplices» de estafas de este tipo. Además, puse sobre aviso y notifiqué por un lado a la entidad bancaria reenviándole el correo, y por otro, a Miguel Ángel Arroyo, al que le dejo esos detalles “técnicos” en los que yo me pierdo para cuando tenga tiempo y quiera divertirse un rato 😉 y que en el momento que comprobó la historia dijo: “Esto da para un artículo en el blog, ¿no crees?”.

Y aquí está, si con esta visión a modo usuario podemos ayudar a que aumente la conciencia en cuanto a la seguridad en la informática y desconfiemos de este tipo de correos y enlaces, me doy por satisfecha.

¡Gracias!