Suplantan un email de Movistar para distribuir un troyano bancario

0

Phishing en Movistar

Durante los últimos días se ha comprobado como un scam relacionado con Movistar se expande como la pólvora. Un email con una supuesta factura de la compañía nos invita a abrir un email que no es lo que parece y que podría infectar nuestro equipo con un peligroso troyano bancario.

Las apariencias engañan

Es común ver, hoy en día, como se suplanta la identidad de bancos, empresas y agencias gubernamentales importantes (como Correos). Muchas veces esto acaba infectándonos con Ransomware.

Lo cierto es que los creadores de este tipo de Phishing saben de la popularidad de las compañías que utilizan como objetivo, algo que alcanza a muchos clientes potenciales y que puede cogernos con la guardia baja si casualmente somos clientes.

Cómo defenderse de estos intentos

Cuando se trata de emails que pueden resultar sospechosos, a pesar de proceder de una empresa con cieta reputación, debemos tomar una serie de medidas para evitar que nos roben información o infecten con malware nuestro equipo. En esta guía repasamos los conceptos más importantes para detectar los intentos de Phishing y fraude online.

El correo con Phishing sobre la empresa Movistar difundido en los últimos días tiene el siguiente aspecto:

¿Resulta fácil sospechar de este correo de Movistar?

Cada vez más, los phishers cuidan mejor la apariencia y lenguaje utilizados en este tipo de emails:

No aparecen faltas de ortografía. De hecho, el email está bien redactado e incluye incluso las tildes tan típicas de nuestro idioma. Esto da muestra de que el responsable ha enfocado esta campaña hacia usuarios de habla hispana (casi todos los clientes de Movistar lo son, así que tiene lógica). Solo la codificación usada en el título del mensaje muestra “algo raro”.

El logotipo de la compañía es el verídico. Redirige a un apartado real de clientes en su web. Esto, unido a los datos de contacto reales de la empresa, ayuda a que el usuario trate el email con mayor confianza.

La dirección de email del remitente aparece asociada a una dirección real de la empresa Movistar, un hecho que despista mucho al usuario. Pero al observar detenidamente el email vemos que:

Phishing en Movistar

Tanto el ID del mensaje como la ruta de retorno tienen absolutamente nada que ver con Movistar. Se trata pues de una falsificación o, como se conoce en inglés, SPOOFING. Esto tiene un lado bueno: al menos, la vulneración no se ha producido dentro de los servidores de la compañía.

Troyano bancario Zbot 

Esto ya os resultará familiar: este tipo de emails lo que buscan es que ejecutemos un archivo adjunto o naveguemos por un enlace comprometido (en este caso es un adjunto, la factura). Entonces el troyano bancario se pondrá a funcionar y nos dará la sorpresa.

Al realizar la prueba de descarga y ejecución del fichero vemos lo siguiente:

Cabeceras del email de Movistar

Cabeceras del email de Movistar

Se trata de un troyano, detectado por el producto ESET SmartSecurity como Win32/Spy.Zbot.AC y que busca robarnos las credenciales de acceso a servicios web y bancos para robarnos “la pasta”.

Win32/Spy.Zbot.AC

Qué hacer para estar a salvo

Además de revisar la guía anteriormente comentada, os recomendamos contar con una solución de seguridad potente, como Bitdefender Internet Security 2015, que es capaz de revisar tanto el contenido de los emails como los enlaces a través de los que navegamos, bloqueando infecciones.

Además, el hecho de revisar las cabeceras de los emails nos puede sacar de dudas en más de una ocasión.

Valora esta noticia

  • User Ratings (2 Votes)
    9.4
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR