Caso de phishing: Bancolombia

En este blog, exploraremos un caso real de phishing que ilustra cómo estos ataques pueden ocurrir en cualquier momento y a cualquier persona. Analizaremos los métodos utilizados por los estafadores, las señales de alerta que a menudo pasan desapercibidas y las medidas que podemos tomar para protegernos. A través de esta historia, no solo aprenderás sobre el phishing, sino que también adquirirás herramientas prácticas para salvaguardar tu información personal. 

*Se recomienda no acceder a la url expuesta.

Inicialmente se recibe un correo electrónico con alto sentido de urgencia, en este caso notificando una compra virtual por 115.000 pesos, monto que será debitado de una cuenta de Bancolombia, para evitar dicho cobro ofrecen la posibilidad de cancelar la compra accediendo a un enlace.  

Figura 1. Correo electrónico recibido

Indicadores que sugieren que se trata de un intento de phishing:

Remitente sospechoso: El correo proviene de una dirección no oficial de Bancolombia, específicamente de una cuenta de Hotmail (evergy2009@hotmail.com). Las instituciones financieras utilizan dominios corporativos específicos, por lo que este es un fuerte indicativo de phishing.

Falta de personalización: El mensaje no se dirige al destinatario por su nombre, lo que es común en correos legítimos. En lugar de eso, utiliza un saludo genérico o simplemente inicia con el contenido del mensaje.

Urgencia en la acción: El correo menciona que la compra será debitada automáticamente en un corto plazo (2 horas), creando un sentido de urgencia que es una táctica común en los correos de phishing para apresurar a las víctimas a actuar sin pensar.

Enlace sospechoso: Se proporciona un enlace para cancelar la compra, que lleva a un dominio no relacionado con Bancolombia (weebly.com). Los enlaces en correos electrónicos de phishing a menudo redirigen a sitios web falsos diseñados para robar información personal.

Errores gramaticales y ortográficos: Aunque el correo no presenta errores evidentes en el texto proporcionado, los correos electrónicos fraudulentos suelen tener errores gramaticales o de redacción que pueden ser un indicativo de falta de profesionalismo.

Contenido inusual: La notificación sobre una compra que el destinatario no reconoce y la solicitud para cancelar una suscripción son motivos para sospechar, ya que las instituciones bancarias no suelen enviar correos sobre transacciones no autorizadas sin previa interacción del cliente.

Estos indicadores son señales claras de que este correo electrónico es potencialmente malicioso y debe ser tratado con precaución.


Una vez el usuario da clic sobre el enlace proporcionado en el correo lo redirige a la página que se muestra a continuación:

Figura 2. Página a la que nos dirige la URL incluida en el correo  

Se puede evidenciar que es una página creada en weebly, un servicio gratuito para crear páginas web, en la parte inferior aparece un botón para cancelar la compra.

Figura 3. Página con formulario que simula el inicio de sesión en Bancolombia


El usuario encuentra un formulario para ingresar usuario y contraseña de Bancolombia, en este punto sí el usuario proporciona los datos los estará entregando directamente al estafador.  

Para verificar lo que sucede cuando el usuario ingresa los datos, se digitaron datos al azar y simplemente se muestra un mensaje: "iniciando proceso de validación". 

Figura 4. Página con formulario que simula proceso de validación

Análisis de la página web

El código HTML es una implementación de una página web que recopila información del usuario y la envía a través de un bot de Telegram. A continuación, se desglosan sus componentes y funcionalidades principales:

Estructura General

1.    Declaración del Documento:

Se inicia con <!DOCTYPE html>, indicando que es un documento HTML5.

2.    Encabezado (<head>):

Metaetiquetas: Se establece la codificación de caracteres (UTF-8) y la configuración de vista para dispositivos móviles.

Título: Se define el título de la página como "default_personas".

Estilos: Se incluyen hojas de estilo para normalizar el CSS y para fuentes de Google.

Scripts: Se carga jQuery desde un CDN y se define un script JavaScript que maneja la lógica de la página.

Funcionalidades del Script

1.    Variables de Bot de Telegram:

Se definen variables para el ID del bot y el ID del chat, lo que permite enviar mensajes a un chat específico en Telegram.

2.    Obtención de IP:

Se utilizan dos llamadas a APIs externas (ipify e ipinfo) para obtener la dirección IP pública del usuario y su ubicación (ciudad y país). Esta información se muestra en elementos ocultos (<p>).

3.    Funciones ready y sender:

La función ready recopila los datos ingresados por el usuario (nombre de usuario y contraseña) junto con la información de IP.

La función sender se encarga de enviar esta información a través del bot de Telegram utilizando una solicitud AJAX.

Formulario

1.    Estructura del Formulario:

El formulario está diseñado para capturar un nombre de usuario y una contraseña.

Se implementan validaciones básicas, como longitud máxima y tipo de caracteres permitidos para cada campo.

2.    Interactividad:

Al enviar el formulario, se llama a la función sender, que evita el envío tradicional del formulario y realiza la comunicación con Telegram.

3.    Mensajes de Éxito:

Se incluye un mensaje que indica al usuario que se está iniciando el proceso de validación.

Consideraciones de Seguridad

Exposición de Datos Sensibles: El código envía información sensible (nombre de usuario y contraseña) a través de Telegram, lo cual es inseguro. Esta práctica compromete la seguridad del usuario.

Validaciones Limitadas: Aunque hay validaciones en el cliente, no hay validaciones en el servidor, lo que podría llevar a problemas si se manipulan los datos enviados.

Conclusión

Este código proporciona una base funcional para un formulario web que recopila información del usuario y la envía a un bot de Telegram. Sin embargo, presenta serias preocupaciones en términos de seguridad y privacidad que deben abordarse antes de su implementación en un entorno real.

El código HTML no contiene información explícita que identifique al responsable del mismo, como nombres, direcciones de contacto o datos personales. Sin embargo, hay algunos indicios que podrían ayudar a inferir quién podría ser el responsable:

1.    ID del Bot de Telegram: El código incluye un token de bot de Telegram (telegram_bot_id), que es único para cada bot. Si se conoce el bot, se puede investigar quién lo creó o administra. Esto podría proporcionar un punto de partida para identificar al responsable.

2.    Chat ID: Similar al token del bot, el chat_id también puede estar asociado a un usuario o grupo específico en Telegram. Esto podría dar pistas sobre el propietario del bot o su propósito.

3.    Contenido del Formulario: El formulario solicita información sensible como un nombre de usuario y una contraseña. Aunque no se menciona directamente quién es el responsable, la naturaleza del formulario sugiere que está diseñado para recopilar datos de usuarios con fines maliciosos.

4.    Referencias a Recursos Externos: El uso de bibliotecas externas como jQuery y la hoja de estilos normalizadas puede indicar un nivel básico de experiencia en desarrollo web, pero no proporciona información sobre la identidad del desarrollador.

5.    Código y Estructura: La estructura del código es bastante estándar para formularios web, lo que no revela mucho sobre el autor. Sin embargo, la implementación específica de la funcionalidad de envío a través de Telegram sugiere un conocimiento técnico específico.

Aunque no hay datos directos sobre el responsable en el código HTML proporcionado, los elementos mencionados pueden ser utilizados para investigar más a fondo y potencialmente identificar a quien está detrás del mismo.

Recomendaciones

Para evitar caer en trampas de phishing, aquí tienes algunas recomendaciones efectivas:

Verifica el remitente: Siempre comprueba la dirección de correo electrónico del remitente. A menudo, los correos de phishing provienen de direcciones que imitan a las legítimas pero que tienen ligeras variaciones.

No hagas clic en enlaces sospechosos: Antes de hacer clic, pasa el ratón sobre el enlace para ver la URL real. Si no coincide con el sitio oficial, no lo abras. Evita hacer clic en enlaces de correos no solicitados o inesperados.

Desconfía de las solicitudes de información personal: Las empresas legítimas nunca te pedirán información sensible a través de correos electrónicos. Si recibes una solicitud, contacta directamente a la empresa a través de sus canales oficiales.

Usa contraseñas seguras y únicas: Asegúrate de que tus contraseñas sean robustas y diferentes para cada cuenta. Considera utilizar un gestor de contraseñas para ayudarte a mantenerlas seguras.

Habilita la autenticación multifactor (MFA): Siempre que sea posible, activa la MFA en tus cuentas. Esto añade una capa adicional de seguridad y dificulta el acceso no autorizado incluso si tus credenciales son comprometidas.

Mantén tu software actualizado: Asegúrate de que tu sistema operativo, navegadores y software antivirus estén siempre actualizados para protegerte contra vulnerabilidades conocidas.

No descargues archivos adjuntos inesperados: Evita abrir archivos adjuntos en correos electrónicos que no esperabas recibir o que provienen de remitentes desconocidos, ya que pueden contener malware.

Utiliza herramientas antiphishing: Considera instalar complementos o software antiphishing que puedan ayudarte a identificar y bloquear correos electrónicos maliciosos antes de que lleguen a tu bandeja de entrada.

Edúcate a ti mismo y a otros: Mantente informado sobre las tácticas comunes de phishing y comparte esta información con amigos y colegas para crear conciencia sobre los riesgos.

Reporta intentos de phishing: Si recibes un correo sospechoso, repórtalo a tu proveedor de correo electrónico o a las autoridades pertinentes para ayudar a prevenir futuros ataques.

Siguiendo estas recomendaciones, puedes reducir significativamente el riesgo de ser víctima de ataques de phishing y proteger tu información personal en línea.

(ver caso 2)

(ver caso 3)

Autor: Fredy Avila

No olvides Compartir...  

Síguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon

Publicar un comentario

0 Comentarios