Falso correo electrónico suplantando la identidad de Bancomer

El UNAM-CERT recibió  una notificación en donde se  informaba sobre una posible campaña de robo de identidad. La amenaza llega por correo electrónico como un aviso para la sincronización del dispositivo de acceso seguro de este banco.

El correo hace alusión a una de las estrategias más comunes utilizadas por los atacantes en correos fraudulentos, el sentido de urgencia que incita a los usuarios a actuar rápido para no verse afectados en el servicio al que se hace referencia en el correo: “Si en las próximas 48 horas…72 horas”

Como podemos ver en la barra de direcciones la página fraudulenta se hospeda en un sitio vulnerado.

Haciendo las pruebas de laboratorio, logramos identificar que hay campos  que se están solicitando y que un banco legítimo no pediría por ningún medio, ya sea por teléfono, correo o por su página de internet.

 Ningún servicio, bajo ninguna circunstancia, solicitaría el código de seguridad o el NIP de alguna tarjeta. Si este lo solicita, es un claro signo de que se trata de un sitio peligroso.

Dentro de la trama se pudo visualizar como cada uno de los campos es verificado con código JavaScript. Esto lo hacen para parecerse más a la página legítima.

Podemos ver como las variables se mandan una página PHP (las paginas PHP solo son interpretadas por el servidor y no por un cliente) por el método POST.

Al cargar nuevamente la página nos aparece un mensaje con el cual el cliente se puede llegar a sentir más seguro.

Al aceptar se puede visualizar en el código como nos redirige a la página oficial de Bancomer. No hace falta mencionar que la llamada mencionada nunca llega, mientras tanto, los creadores de este phishing han recolectado datos de tarjeta suficientes como para realizar comprar en nombre de la víctima, suplantar su identidad al momento de solicitar un crédito, o vender esta información en el mercado negro virtual como parte de una base de datos de información de tarjetahabientes.