Un vistazo a la situación de phishing y malware en México (Abril – Junio 2015)

 

Resumen

 

Como se mencionó en el primer reporte de estadísticas de phishing y malware, es importante mostrar los casos más comunes para alertar a los usuarios y disminuir el número de afectados.

Durante este trimestre, algunas de las campañas de phishing más interesantes estuvieron relacionadas con el SAT y con el envío de archivos .cab como adjuntos. También se observó un aumento en la cantidad de correos falsos de Banamex y la aparición de correos falsos de Banorte, Netflix, WhatsApp y CFE, que no se observaron durante la realización del primer reporte de estadísticas. Otra característica notable es que las campañas de phishing ahora han optado por incluir dos enlaces, uno para usuarios y otro para empresas, y cada uno redirige a sitios phishing distintos.

En cuanto a malware, lo más común siguen siendo los documentos maliciosos de Word.

 

 

Introducción

 

Gracias a los usuarios que nos reportan los correos sospechosos que llegan a sus cuentas hemos dado de baja varios sitios phishing, provocando la frustración de los criminales, que incluso intentan bloquear nuestras direcciones IP para evitar que tengamos acceso a sus sitios falsos.

 

Sin embargo, esto no es suficiente y seguimos haciendo lo posible por dar de baja estos sitios. Recuerda que nos puedes reenviar los correos que te parezcan sospechosos a phishingat cert dot unam dot mx o malware at cert dot unam dot mx,revisamos cada uno de ellos para evitar que otras personas se vean afectadas por estos fraudes, ya que por cada URL pueden caer entre 500 y 60 mil personas, dependiendo de la popularidad que tenga esa campaña de phishing.

¿Te has preguntado cuántas personas dan clic a los enlaces de los correos falsos? De acuerdo con las estadísticas del dominio bilgor.ee, durante el mes de abril 20 de las URLs más visitadas incluían la palabra “Bancomer” y el primer lugar tuvo 62561 clics. Esto es sólo de un dominio, existen miles más que son utilizados para alojar sitios falsos.

 

 

Phishing

 

A continuación se muestran algunos ejemplos de los casos de phishing y malware, enviados por correo, que se observaron entre abril y junio de este año.

 

·       SAT

Uno de los casos interesantes que se vieron durante del trimestre abril-junio fue el de los correos que suplantaban la identidad de SAT, pidiendo al usuario que registre su correo electrónico para recibir notificaciones.

 

Al dar clic en el enlace, el usuario es redirigido al sitio oficial de Hotmail donde se solicitan las credenciales de inicio de sesión. Una vez que se ha autenticado, se muestra una pantalla donde se le informa al usuario que una supuesta aplicación solicita permisos para acceder a la información del perfil y a la lista de contactos.

 

En este caso, el nombre de la aplicación fue “Registro Promociones” pero podría ser cualquier otro. Si le aceptaste darle permisos a la aplicación por accidente, se los puedes revocar dando clic en el nombre del usuario y seleccionando las siguientes opciones: Configuración de la cuenta > Seguridad y Privacidad > Aplicaciones y Servicios > Administrar los permisos.

 

 

·       CFE y Telmex

Los correos que decían venir de Telmex o de la Comisión Federal de Electricidad estaban relacionados con adeudos o con estados de cuenta, cuyos detalles supuestamente podían ser consultados en el archivo de Word adjunto que, al abrirlo, descargaba un ejecutable malicioso desde un servidor remoto.

 

 

 

·       Netflix

Los correos phishing de Netflix indicaban al usuario que había ganado una suscripción al servicio. Al dar clic en el enlace, el usuario era redirigido al sitio de inicio de sesión de Hotmail/Outlook y se le pedía autorizar el uso de la aplicación, de forma similar a como sucedía con los falsos correos del SAT. Al aceptar la aplicación, los atacantes obtenían los datos de la cuenta de correo del usuario.

 

 

·       Visa

De Visa no se recibieron correos phishing, sino que las URLs fueron reportadas al UNAM-CERT. Estas redirigían a una forma, con campos en inglés o italiano, que decía estar verificada por Visa y donde se le pedía a los usuarios escribir datos personales, tales como: nombre, apellidos, correo electrónico, fecha de nacimiento, número de celular, número d tarjeta de crédito, etc.

 

·       WhatsApp

El correo que era supuestamente enviado por WhatsApp redirigía a una página falsa de venta de farmacéuticos.

 

·       PayPal

Los correos de PayPal reportaban un comportamiento inusual en la cuenta o relacionado con la tarjeta, por lo que invitaban al usuario a iniciar sesión. Al dar clic en el enlace, los usuarios eran redirigidos a sitios falsos de PayPal, que incluso tenían un certificado SSL.

 

 

 

·        “Tu pareja te engaña”

Estos correos, donde un desconocido decía tener pruebas de que el usuario estaba siendo engañando, contenían un archivo de Word malicioso que al ser abierto descargaba ejecutables maliciosos. En este caso, el tipo de malware descargado era el ransomware CTB-Locker, por lo que los archivos de quienes abrían el documento de Word eran cifrados.

 

 

·       Banamex

Como se mencionó al principio, durante este trimestre se observó un aumento considerable en la cantidad de correos phishing relacionados con Banamex. En los meses anteriores era poco común recibirlos, siendo Bancomer y Santander las instituciones más suplantadas. Los temas que se utilizaron para engañar estuvieron relacionados con: cuentas bloqueadas “por motivos de seguridad”, actualización de datos una vez al mes “debido a la ley federal de protección de datos” e información sobre retiros o compras. En algunos casos los correos electrónicos tenían adjuntos archivos de Word maliciosos.

 

 

·       Bancomer

En el caso de Bancomer, los temas utilizados fueron los siguientes: reactivación del acceso seguro en el portal, renovación del “servicio avanzado”, activación de alertas en celular, desbloquear tarjeta, renovación del “dispositivo de acceso seguro” y verificación del número de celular.

 

 

·       Banorte

El número de correos phishing relacionados con Banorte que fueron recibidos fue muy bajo; sin embargo consideramos pertinente mencionarlos. En este caso los correos mencionaban que el token había sido bloqueado y que para desbloquearlo era necesario iniciar sesión.

 

 

·       Scotiabank

Los correos falsos de Scotiabank también mencionaban la reforma a la ley de protección de datos para lograr que los usuarios escribieran información sobre ellos y sobre sus tarjetas bancarias en sitios phishing. También es común el uso de amenazas como que “la cuenta será suspendida” para presionar a los usuarios.

 

 

·       Santander

En el caso de Santander, se debe tener cuidado de correos donde se pide verificar el número de celular, iniciar sesión para saber por qué la tarjeta fue limitada o desbloquear la cuenta o el acceso a banca electrónica.

 

 

·       Correo

También se recibieron varios reportes de usuarios de la UNAM a los que les había llegado un correo diciendo que el buzón de su cuenta estaba saturado y que debían proporcionar ciertos datos para aumentar el tamaño del buzón.

 

 

Malware

 

·       Cab

Un archivo cabinet contiene varios archivos comprimidos como uno solo y se usan comúnmente para organizar los archivos de instalación de Microsoft Windows que se copian a un sistema.

 

·       CPL

Durante este trimestre se recibieron varios archivos CPL. Los correos en donde llegaban estaban en portugués y contenían imágenes de supuestos cheques, notas fiscales o procedimientos de investigación federales, con el objetivo de parecer reales y lograr que el usuario descargara archivos desde los enlaces del correo. Como se mencionó en el reporte sobre un archivo CPL, este tipo de archivos es muy utilizado por los desarrolladores de troyanos bancarios enfocados a los usuarios brasileños. Recordemos que los archivos cpl son bibliotecas de enlace dinámico que contienen la funcionalidad de los íconos del Panel de Control, por lo que pueden ser ejecutados al darles doble clic.

 

 

Estadísticas

Las estadísticas que se muestran a continuación están basadas en los correos electrónicos enviados al equipo de análisis de malware del UNAM-CERT a través de [phishing at cert dot unam dot mx] y [malware at cert dot unam dot mx] entre el 1 de abril y el 23 de junio del 2015. Esto no representa la situación de Phishing en México en su totalidad sino que es, como indica el título, un “vistazo” de los ataques de phishing que se  observaron en nuestro país en los últimos tres meses. Aquellos correos relacionados con spam fueron descartados.

 

Según nuestro análisis, los blancos más comunes de los ataques phishing fueron las instituciones bancarias que en total representan el 69%. De éstas, el 66% estuvo enfocado a bancos en México (Bancomer, Banamex, Santander, Scotiabank, IXE, Banorte y HSBC) y el 3% con bancos en Brasil (Banco do Brasil, Bradesco, Caixa e Itau).

 

De todos estos correos, la mayoría incluía enlaces para redirigir al usuario a sitios maliciosos, ya sea para robar sus datos o para descargar malware. El 16% contenía archivos adjuntos que el usuario supuestamente debía descargar para, por ejemplo, “revisar su estado cuenta” o la información relacionada con un “retiro de su cuenta bancaria”.

 

De este 16%, la mayoría de los archivos adjuntos fueron documentos de Word (.doc). En segundo lugar, archivos cabinet (.cab). Y, en menor cantidad, archivos PDF. A diferencia de lo presentado en el reporte anterior, no se recibieron archivos con la extensión .zip, sino que estos fueron reemplazados por los .cab.