La tecnología y el Internet son herramientas que nos ayudan a conseguir objetivos, facilitar tareas y satisfacer necesidades, sin embargo, estas herramientas son utilizadas para fines ilegales que atentan contra la seguridad de empresas, instituciones públicas y personas.
Con base en información de la firma de ciberseguridad israelí, MER Group, México se ha convertido en el blanco perfecto de los hackers relacionados con la práctica del phishing. De acuerdo a un análisis realizado a finales del 2017 por MER Group existen principalmente 3 instituciones bancarias que son los blancos principales de los ciberdelincuentes.
“El modus operandi típico, que encontró el motor de detección de MER, fueron varios sitios con nombres y dominios registrados que se veían muy similares a dos de los bancos más grandes de México”, indica Javier Ethiel Sánchez, Director de Tecnología de MER Group en México.
Este modus operandi muestra que los estafadores registran nombres de dominio similares a los de las organizaciones seleccionadas, con la esperanza de explotar los errores tipográficos por la falta de atención a los detalles por parte de los clientes de estas instituciones.
El método de ataque es el siguiente:
- Esta campaña de phishing se basa principalmente en la interacción con víctimas, cuando se realiza una búsqueda para un banco mexicano, existe un dominio con un error tipográfico que puede ser una ‘j’ en vez de ‘m’, sin embargo este sitio es el malicioso.
- Cuando las víctimas proceden a abrir el sitio web, se les presenta una imagen del sitio original del banco.
- Después de unos segundos, los usuarios son redirigidos a una página de actualización de Java (ruta del archivo /java.php) en el mismo u otro dominio de phishing. Allí, las víctimas reciben una página que les solicita que la actualización de Java sea manual.
- Una vez descargado el archivo, se envía una solicitud GET a un dominio polaco, que funciona como servidor de Comando y Control para la operación de cibercrimen. Por otro lado, también se ejecuta un proceso llamado ‘Windowsystem.exe’ con el cual hay acciones y tareas específicas que se llevan a cabo para el robo de información o la infección del dispositivo; para verificar si es un dispositivo real y no virtual para así evadir la detección por parte de los analistas; para evaluar el entorno del dispositivo antes de ejecutarse, y finalmente para autoeliminarse.
Ante este nuevo método de ciberataque es importante la prevención y estar alertas para evitar ser víctima, tarea que está tanto del lado del usuario como de las empresas bancarias.
Deja un comentario