Recientemente, estuvieron llegando a los usuarios correos electrónicos que provienen, supuestamente, desde la compañía VISA. En el mismo se alerta sobre un problema con su tarjeta y sus pagos.
Viernes 10 de mayo de 2019.
Se afirma que han “realizado consumos reiterados y sospechosos en su tarjeta Visa, por lo tanto los servicios prestados por Visa Home serán suspendidos de forma preventiva hasta que realice la verificación correspondiente”.
Posteriormente, le piden al usuario que ingrese a un enlace donde va a poder realizar un trámite en línea para solucionar todo.
Pero en realidad, ese enlace no va al verdadero sitio de la tarjeta sino que a uno falso. En el mismo, le piden que ingrese su usuario y su contraseña, y luego a otro en donde le pedían los datos biográficos (nombre, dirección, fecha de nacimiento). Por último, requería que se ingresen los datos de la tarjeta; particularmente, el número de identificación, el código de 3 dígitos y la fecha expiración del plástico.
Cuando el usuario terminó de ingresar esos datos, una cuarta pantalla confirmaba la recepción de los datos para luego, tras clickear en un botón, devolver a la víctima a la home page de su navegador.
Cómo funciona la estafa
Este tipo de estafa se conoce como Phishing, término que proviene del inglés fishing (pescar): con esto se trata de “pescar” desprevenido al usuario que no se da cuenta que no es en realidad un sitio legítimo.
Los ciberdelincuentes obtienen así toda la información necesaria para clonar la tarjeta o usarla para realizar compras en línea.
“Claramente el ataque está localizado para Argentina. Que el ataque use recursos de páginas de afuera no significa nada ya que se pueden hacer desde cualquier servidor vulnerado”, explica Camilo Gutiérrez Amaya, líder de investigación en la compañía de ciberseguridad Eset, para la región latinoamericana, a Infotechnology.
Técnicamente, los atacantes aprovecharon un hueco de seguridad en el sitio web de la cadena de hoteles indios jüSTa. Este hueco les permitió acceder a la configuración del sitio web casi sin restricciones.
Una vez dentro, plantaron un archivo que se ejecutaba cada vez que la persona ingresaba al sitio a través del link que se envío por mail. Los atacantes guardaron un archivo ejecutable (posiblemente uno de tipo Shell) en la carpeta donde están las imágenes del sitio web. A continuación, ingresaron código foráneo a la web original que redigiría el tráfico al sitio trucho de Visa: tal y como se ve con la extensión /socios.visa.home/ingreso.
El correo de phishing ya no redirige al sitio falsificado de Visa ni tampoco se pueden localizar los assets de los criminales en el sitio de la cadena de hoteles. Sin embargo, los delincuentes pueden reubicar su script malicioso en otros sitios con vulnerabilidades y repetir el ataque.
“Las campañas de phishing tienen una duración muy corta. Cuando alguien la detecta y la reporta ya obviamente deja de ser tan efectiva. Suelen durar 4, 5 o 6 horas”, agrega el experto de Eset.
