Phishing suplantando a Caixabank 😱

[vc_row dfd_row_responsive_enable=»dfd-row-responsive-enable» css=».vc_custom_1584440108285{padding-right: 50px !important;padding-left: 50px !important;}»][vc_column][dfd_heading subtitle=»» content_alignment=»text-left» enable_delimiter=»» title_font_options=»tag:h2″ subtitle_font_options=»tag:div»]

¡Nueva alerta de Phishing! Ahora en Caixa Bank

[/dfd_heading][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]

Por si el caso de Banco Santander no fuera lo suficientemente peligroso, nos ha saltado la alerta de que en Caixa Bank está sucediendo lo mismo y tenemos un Phishing suplantando a Caixabank.

Mediante el protocolo y el mensaje “Nuevo protocolo de acceso a oficinas de Caixa Bank” o similar, se le informa al usuario que con motivo del estado de alerta del COVID-19, han actualizado los protocolos de sus oficinas y mejorados sus procedimientos de seguridad de banca online para evitar que la cuenta quede suspendida.

Por lo que añaden un enlace, donde tendrás que seguirlos pasos con un límite de 24 horas.

El enlace parece oficial… ¡pero no lo es. Redirige a una web fraudulenta.! 

[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_row_inner dfd_row_responsive_enable=»dfd-row-responsive-enable» css=».vc_custom_1584440132383{padding-right: 50px !important;padding-left: 50px !important;}»][vc_column_inner][dfd_single_image image=»5925″][/vc_column_inner][/vc_row_inner][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]Una vez que se hace clic en el enlace aparece la página fraudulenta que suplanta a Caixa Bank y nos aparecerá los pasos a seguir que son los mismos que en el caso de Banco Santander.

Como vemos has de introducirlos datos de tu tarjeta, así como PIN del cajero y por último nos indica que introduzcamos el numero de teléfono, mediante el que nos llegará un código de verificación en dos pasos.[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_row_inner dfd_row_responsive_enable=»dfd-row-responsive-enable» css=».vc_custom_1584440154805{padding-right: 50px !important;padding-left: 50px !important;}»][vc_column_inner width=»1/3″][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_single_image image=»5926″][/vc_column_inner][vc_column_inner width=»1/3″][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_single_image image=»5927″][/vc_column_inner][vc_column_inner width=»1/3″][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_single_image image=»5928″][/vc_column_inner][/vc_row_inner][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]Una vez realizado estos pasos nos redirigirá a la página oficial de Caixa Bank.[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][/vc_column][/vc_row][vc_row dfd_row_responsive_enable=»dfd-row-responsive-enable» css=».vc_custom_1584440178252{padding-right: 50px !important;padding-left: 50px !important;}»][vc_column][dfd_heading subtitle=»» enable_delimiter=»» title_font_options=»tag:h2″ subtitle_font_options=»tag:div»]

¿CÓMO DETECTARLO?

[/dfd_heading][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]Como ya os avisamos en el email de ayer sobre el phishing del Banco Santander, en el phishing suplantando a Caixabank vemos que le modus operandi es el mismo por lo que las pautas a seguir son las mismas, ya que estas pautas que os marcamos son para tu seguridad en cualquier caso de phishing:

– Si algún empleado ha recibido un correo de estas características, ha accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

– No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.

– En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.

– No contestar en ningún caso a estos correos.

– Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.

– Tener siempre actualizado el sistema operativo y el antivirus.

– En el caso del antivirus comprobar que está activo.

– Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Si tenéis dudas al respecto de éste tipo de fraudes, en Asnet, siempre podéis confiar, para establecer vuestros procesos de seguridad así como planes de contingenciaestamos a la vanguardia del mantenimiento informático que necesitas.[/vc_column_text][/vc_column][/vc_row]

Nuevo caso de Phishing: Correos Fraudulentos que suplantan al Banco Santander 💥

[vc_row dfd_row_responsive_enable=»dfd-row-responsive-enable» css=».vc_custom_1584440108285{padding-right: 50px !important;padding-left: 50px !important;}»][vc_column][dfd_heading subtitle=»» content_alignment=»text-left» enable_delimiter=»» title_font_options=»tag:h2″ subtitle_font_options=»tag:div»]

No sólo tenemos que protegernos el COVIC-19

[/dfd_heading][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]Si eres cliente, empleado, autónomo o empresa del Banco Santander , ésta noticia te interesa, ya que se ha detectado un nuevo caso de envíos de correos fraudulentos suplantando al Banco Santander, y en un claro acto de phishing.

Este caso de phishing busca extraer tus datos personales de acceso y así poder acceder a tu cuenta bancaria.

[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_heading subtitle=»» enable_delimiter=»» title_font_options=»tag:h2″ subtitle_font_options=»tag:div»]

Asunto: «Clientes de Servicio»

[/dfd_heading][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]Esta campaña suplantando al Banco Santander se distingue por qué en su envío, tiene como asunto “Clientes de Servicio”, “Revisión de sus datos maestros” o parecido.

En él se especifica a los usuarios que han cambiado su sistema de protección sobre banca online y para que no se quede bloqueado, hay que acceder a un enlace (primer paso para activar el phishing) y seguir los pasos que se detallan.

En otros envíos el mensaje es algo más alarmante para que el cliente haga clic y es que nos avisa de que nuestra tarjeta puede ser suspendida sino verificamos la información. Los hackers para hacer más real y veraz sus informaciones han falseado parte de la dirección del remitente, así como su aspecto gráfico, pero con detalles ortográficos muy perceptibles, como errores tipográficos.[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_row_inner dfd_row_responsive_enable=»dfd-row-responsive-enable» css=».vc_custom_1584440132383{padding-right: 50px !important;padding-left: 50px !important;}»][vc_column_inner width=»1/2″][dfd_single_image image=»5902″][vc_column_text]

Mensaje opcional enviado 1

[/vc_column_text][/vc_column_inner][vc_column_inner width=»1/2″][dfd_single_image image=»5904″][vc_column_text]

Mensaje opcional enviado 2

[/vc_column_text][/vc_column_inner][/vc_row_inner][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_heading subtitle=»» enable_delimiter=»» title_font_options=»tag:h2″ subtitle_font_options=»tag:div»]

¿Cómo actua éste pishing?

[/dfd_heading][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]Si seleccionas el enlace que hay en cualquier los mensajes anteriores, accederás a una página web fraudulenta que suplanta a la web del Banco Santander.[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_single_image image=»5905″][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_row_inner dfd_row_responsive_enable=»dfd-row-responsive-enable» css=».vc_custom_1584440154805{padding-right: 50px !important;padding-left: 50px !important;}»][vc_column_inner width=»1/2″][vc_column_text]Si introduces las credenciales de acceso, te enviará a un apartado donde te solicitará la información de la tarjeta de crédito.[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_single_image image=»5906″][/vc_column_inner][vc_column_inner width=»1/2″][vc_column_text]Como paso final, nos pedirá dos veces un código de verificación SMS.[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_single_image image=»5907″][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_single_image image=»5908″][/vc_column_inner][/vc_row_inner][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]Y una vez cumplido todos los requisitos, nos derivan ahora si, a la web del Banco Santander real.[/vc_column_text][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][dfd_single_image image=»5909″][/vc_column][/vc_row][vc_row dfd_row_responsive_enable=»dfd-row-responsive-enable» css=».vc_custom_1584440178252{padding-right: 50px !important;padding-left: 50px !important;}»][vc_column][dfd_heading subtitle=»» enable_delimiter=»» title_font_options=»tag:h2″ subtitle_font_options=»tag:div»]

Solución

[/dfd_heading][dfd_spacer screen_wide_spacer_size=»30″ screen_normal_resolution=»1024″ screen_tablet_resolution=»800″ screen_mobile_resolution=»480″ screen_mobile_spacer_size=»30″][vc_column_text]Como en todos los casos en los que tenemos un correo fraudulento , hay que extremar las precauciones y hay que avisar a los empleados, o como clientes, estar alerta sobre correos de origen sospechosos o que no sean del todo confiables y que tengan, sobre todo, archivos adjuntos.

En el caso de que hayas echo clic y hayas puesto tus credenciales, te aconsejamos modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación en el caso de que la desconozcan. Si has usado la misma contraseña en otros portales, deberías de modificarla por seguridad.

Las pautas a seguir para evitar este tipo de fraudes son:

  • – No abrir correos de usersdesconocidos o que no hayas solicitado. Elimínalos.
  • – Si el correo es de una entidad bancaria, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos
  • – No contestar a estos correos
  • – Ir con precaución a la hora de seguir enlaces o ficheros en emails, SMS, WhatsApp o redes sociales, aun siendo de contactos conocidos
  • – Tener actualizado el sistema operativo y el antivirus. Comprobar que éste último esté activo
  • – Que las cuentas de tus empresas, los perfiles de usuarios contengan contraseñas largas y sin permisos de administrador

También como plan de contingencia , es conveniente, mantenerte informado al día de los nuevos ataques y sistemas de seguridad para empresas.

Si necesitas de nuestro consejo y experiencia por qué te has visto en esta situación, no dudes en contactar con Asnet[/vc_column_text][/vc_column][/vc_row]

Troyano Bancario EMOTET ?

EMOTET: ¡un troyano que no querrás conocer!

Los hackers vuelven de nuevo al ataque con EMOTET pero ahora, su radio de alcance es mucho más grande: están atacando varias localizaciones a nivel mundial sin escatimar en esfuerzos. La intensidad de los correos recibidos a usuarios españoles, es un claro ejemplo.

Los remitentes, aparentemente de confianza, nos envían un correo con un Word adjunto.

Pero vamos a explicar en detalle en qué consiste y como detectarlo.

¿Quién es EMOTET?

Aunque suene a dios  o a rey egipcio, no es el caso: quizás un diablillo.

El troyano bancario EMOTET fue diseñado en un principio como malware para bancos, para colarse en un ordenador y robar información confidencial.

Las versiones posteriores de dicho troyano, se añadió servicio de spam y a otros conocidos troyanos bancarios.

EMOTET puede eludir al software de detección: utiliza un sistema gusano para poder infectar a otros ordenadores conectados con lo que ayuda a repartir el malware.

El principal objetivo de éste troyano son las credenciales bancarias

La vía de propagación de éste virus es principalmente por correos electrónicos (spam), los cuáles contiene adjuntos maliciosos y al ser un troyano polimórfico, puede cambiar y adaptarse, mejorándose para evitar la detección basada en firmas.

Lo que le hace peligroso en potencia es que utiliza imágenes de marca, lo que confiere credibilidad y un «enganche», para que el troyano actúe una vez descargado el documento adjuntado en el correo.

Una vez dentro, al utilizar servidores C&C para recibir actualizaciones, lo que permite a los hackers, actualizar su versión del troyano, instalar otros troyanos o actuar como un almacén de datos robados, como contraseñas e información sensible como los datos bancarios.

Reactivando al troyano

En Septiembre se detectaron actualizaciones de EMOTET pero de una manera más invasiva, registrando una cantidad inusual en emails con enlaces y adjuntos malware y en España con mayor intensidad que en otras ocasiones. Como utiliza la libreta de direcciones de correo del equipo infectado, lo reenvia y se propaga.

Ésta nueva campaña podemos identificarte varios puntos característicos:

  • Dos remitentes: El primero suplanta al malware y nos hace creer que es de confianza.
  • En el Campo DE: del correo, aparece el dominio que está comprometido y que se usa para hacer el envío masivo de éste troyano. Aquí es importante ya que podríamos identificar el primer error de éstos correos por éste return path y poder eliminarlo definitivamente.
  • Archivo adjunto: El archivo Word que viene suele tener algunas terminologías como: ARCHIVOFile_H3981.doc – MENSAJE_092019.doc – 985832-2019-7-84938.doc – 61.doc.
Ejemplo de correo EMOTET
Ejemplo de correo EMOTET

Ataque

Si a pesar de las advertencias, abres éste tipo de correo y abres el fichero adjunto, activarás el troyano.

A primera vista, el archivo parecerá inofensivo, con aviso de vista protegida para obligarte a efectuar el botón de «Habilitar edición». De ésta manera desactivarás de forma voluntaria las medidas de seguridad de Microsoft Office, para ejecutar el código mediante macros, ya que el archivo es una imagen maliciosa, creada para que tú actives todo el proceso de infección.

Word para activar las macros
Word para activar las macros

Al ser macros que ejecutará código en PowerShell, activando la segunda fase del ataque: contactar con dominios comprometidos para descargar malware y una vez descargado, es lo que se conoce como la tercera fase del ataque y que actúa como dropper del troyano.

Macro EMOTET
Macro EMOTET

Consejo Asnet

En Asnet os queremos recordar la importancia de tener una solución de seguridad adecuada, pero también es muy importante la actitud del usuario frente a éste tipo de amenazas: debemos de ser capaces de detectar, eliminar y ayudar a su propagación. Tenemos que ser cuidadosos a la hora de clickar en enlaces de los que no confiamos o que sospechemos.

Ante la duda: eliminamos el correo 🙂