Phishing, SMiShing y Vishing

El phishing es una forma de ingeniería social que tiene por objetivo apoderarse de tus datos financieros mediante el engaño (suplantación de identidad de una empresa u organización). El phishing nace siempre con un correo electrónico que los atacantes envían a miles o millones de direcciones gracias a bases de datos de spammers. Dicho correo tiene la “identidad corporativa” usualmente de un banco o institución financiera.

En su texto, el remitente suele identificarse como “el área de seguridad informática del Banco X” e informa al destinatario que su cuenta bancaria ha sido vulnerada ya que han detectado “movimientos sospechosos” en ella. Crean un sentido de urgencia en el destinatario para entrar de inmediato al portal del “Banco X” para identificarse (con nombre de usuario y contraseña) y así poder generarle una nueva cuenta o contraseña.

Para hacer este procedimiento le ofrecen al destinatario una vía rápida: un enlace o botón que aparece al final del correo para entrar fácilmente al sitio web del banco. Al hacer clic en dicho botón o enlace, se abre en el navegador de la computadora una página apócrifa del banco, es decir, luce igual o muy similar a la de la institución financiera. La mayoría de los usuarios no saben leer o interpretar nombres de dominio, por lo que con que lean en cualquier parte de la barra de navegación el nombre de su banco, creerán que están en su sitio oficial.

Una vez que se han ganado la confianza del usuario (al utilizar mismos logotipos, colores e identidad corporativa de la institución), y haberle creado el sentido de urgencia (invitándolo a actuar de inmediato para evitar que su cuenta sea “vaciada”), el destinatario finalmente introduce sus datos bancarios en el falso portal, de los cuales se apodera el atacante para luego poder disponer de los fondos de la víctima.

A continuación verás un correo real de phishing dirigido a clientes de un conocido banco colombiano:

Banco COLPATRIA hace todo lo posible por mantener al tanto al usuario de posibles problemas tanto en el servidor de COLPATRIA como en la cuenta del propio usuario. Por lo tanto, quiere advertirle en este momento que el departamento de seguridad cree que terceras personas han podido haber accedido a su cuenta y han limitado esta para que no se produzcan operaciones no deseadas.

Por lo tanto, el equipo del COLPATRIA le ruega que mediante el enlace que le proporcionamos confirme su cuenta inmediatamente para así poder fijar su ip como usuario principal y poder evitar más intromisiones en su cuenta:

Cuenta Personal : http://67.162.218.175/ssh/colpatria/index.htm?nompag=comphtml/user.htm&tp=interno&id=8774W8YSfts296511YoDSgsd53Yxg52&usel=Activacion
Cuneta Empresarial : http://67.162.218.175/ssh/colpatria/empresarial.htm?nompag=comphtml/user.htm&tp=interno&id=8774W8YSYM7296511ushSgsd53Yxg52&usel=Activacion

COLPATRIA no se hace responsable de la perdida de información en caso de que esta confirmación no se lleve a cabo.

Atentamente: Banco COLPATRIA.

Decidí iniciar la lista de ejemplos con este correo supuestamente enviado por Banco Colpatria porque es de los más torpes que he recibido. Se invita al usuario a hacer clic en alguno de los dos enlaces (Cuenta Personal o Cuenta Empresarial) y abiertamente se proporciona el vínculo completo, donde se aprecia primero una dirección IP (http://67.162.218.175) y luego el resto de los directorios dentro de los cuales se aprecia la sección “colpatria/index.htm?”, lo que al usuario no conocedor de nombres de dominio le podría parecer suficiente para pensar que se trata de un sitio legítimo, cuando evidentemente se trata de uno apócrifo.

También mostramos tres de los muchos ejemplos de phishing de Banamex:

También usan a los principales proveedores de tarjetas de crédito del mundo para intentar hacer caer a la gente en estos engaños:

From: VISA Mexico <soporte.clientes@visa.com>
Date: 2006-08-24 0:41 GMT-05:00 Subject:
Atencion tarjetahabientes VISA To: abogado@*******.com

Estimado Tarjetahabiente de Visa, Usted ha sido automaticamente registrado para darse de alta en el programa Verified by Visa. El programa de protección Verified by Visa le ofrece un nivel de seguridad sin paralelos. El programa Verified by Visa protege todas las tarjetas de crédito Visa emitidas por todas las instituciones bancarias del país y su protección se extiende sobre todas las transacciones procesadas por Visa – tanto en el mundo virtual, como en el mundo real. Es muy simple y eficiente. Haga compras en línea y en persona con absolutamente cero riesgo. Use su tarjeta Visa para adquirir productos y servicios en línea, en una tienda local o en cualquier lugar del mundo y usted está protegido contra el uso no autorizado de su tarjeta o de la información de su cuenta.

Verified by Visa le ofrece:
– Seguridad de acuerdo a los últimos avances tecnológicos
– Protección completa contra el fraude
– Cero deuda en caso de las transacciones fraudulentas

Para evitar la interrupción de la cobertura antifraude de su tarjeta y de otros servicios provistos por Visa le pedimos verificar su tarjeta a más tardar 72 horas a la recepción y lectura de este correo.

Haga click aquí para verificar su tarjeta ahora mismo: http://www.verificado-por-visa.org.mx

Si usted ya está registrado en el programa Verified by Visa, favor de realizar el procedimiento indicado en la página. Un cordial saludo, Visa México  Este correo ha sido enviado automáticamente por el sistema Soporte a Clientes de Visa México. Favor de no responder a este correo.

Aunque en los párrafos anteriores usamos como ejemplo “bancos” o “instituciones financieras”, realmente este tipo de engaño cibernético puede tener diversas variantes. También suelen provenir los correos de supuestas instituciones de gobierno (secretaría de hacienda, comisión federal de electricidad) o proveedores de servicios (gas natural, internet), en cuyo caso el discurso cambia. “No ha pagado impuestos y próximamente la policía irá a buscarlo“, “no ha pagado su estado de cuenta, mañana le cortaremos el servicio“… “Sin embargo, como usted es un cliente muy importante para nosotros, le ofrecemos un atractivo descuento si entra ahora mismo a nuestro portal a realizar el pago“. Al hacer clic en el botón o enlace que aparece en el correo, se abre en el navegador de la víctima una página web apócrifa solicitándole haga de inmediato el pago por concepto de impuestos, servicios, etc.

A continuación te mostramos un ejemplo de un correo supuestamente enviado por PROFECO:

Al pasar el ratón sobre el enlace “Descargar Verificador de Gasolineras” aparece el URL a donde nos dirigiremos si hacemos clic en dicho vínculo. Se puede apreciar la dirección: profecomexico.webspacemania.com/profeco.exe. La mayoría de la gente no sabe leer o interpretar un nombre de dominio, por lo que al ver la palabra “profeco” en algún lugar de la barra de navegación supondrán que están en el sitio oficial de la Procuraduría Federal del Consumidor. Sin embargo, el nombre de dominio en este ejemplo no es “profecomexico”, sino “webspacemania.com”. Después de la diagonal se aprecia un archivo ejecutable (profeco.exe) que seguramente contiene código malicioso para infectar tu computadora (virus) o darle permiso al atacante para entrar en ella (troyano). Nótese también que el correo electrónico proviene de la dirección “profeco@camaradecomercio.com.mx”, cuando si fuese en realidad un correo oficial debería de enviarse probablemente desde “@profeco.gob.mx”.

Según un reporte publicado en el mes de marzo de 2017, el porcentaje de personas que hacen clic en un email con phishing es entre el 10 y el 24%. De ellas, entre un 34 y un 74% proporcionaron datos personales o financieros, y de este porcentaje entre el 17 y el 81% descargaron un archivo malicioso. Si usted cree que de todas maneras es un porcentaje muy bajo de personas que cae en este engaño (10 a 24%), piense que estos correos son enviados a millones de personas en el mundo. Solo por poner un ejemplo, en una base de datos de 5,000,000 de correos caen en este fraude de 500,000 (10%) a 1,200,000 (24%) personas.

Variante 1: spear phishing

Existe una variante de este fenómeno delictivo llamada “spear phishing” (pesca con lanza). A diferencia del phishing que no tiene un destinatario específico (se lanza el “anzuelo” a miles o millones de correos electrónicos), el spear phishing si tiene un objetivo específico.

Digamos que te acaban de correr de tu trabajo o te peleaste con tus socios. Conoces bastante información sobre tu ex-jefe o ex-socio. Le envías un correo electrónico desde un servicio gratuito de “envío de correos falsos” para que parezca que proviene de un cliente que sabes que tiene. Conoces qué clase de negocios tiene con el cliente e incluso detalles específicos (cotizaciones pendientes, negociaciones de precios, etc.) Le envías un correo muy convincente, pidiéndole que revise de inmediato el archivo adjunto pues mañana tomará una decisión al respecto.

El archivo, aunque parece un PDF legítimo, en realidad se trata de malware o código que te llevará a una página web apócrifa. A pesar de que el spear phishing siempre va dirigido solo a una persona, suele ser mucho más efectivo que el phishing convencional, ya que al conocer detalles de la víctima, es altamente probable que caiga en el engaño.

Te comparto un ejemplo de toda la información que puedes detallar usando un proveedor gratuito de correos falsos:

Variante 2: smishing

Otra variante del phishing es el “SMiShing”. La diferencia es el medio de propagación del “anzuelo” para concretar en engaño. En el phishing y spear phishing el “anzuelo” se lanza a través de correo electrónico. En SMiShing se lanza a través de un mensaje de texto que llega a tu teléfono (SMS). El ciberdelincuente te envía un SMS, usualmente pretendiendo ser una empresa conocida o legítima. En ocasiones también pueden enviarte una clásica oferta tentadora: “te acabas de ganar un premio” o “te ofrecemos un 50% de descuento en la compra de X”.

En cualquier caso, te piden que te comuniques a un número telefónico para conseguir tu premio (lo cual se puede transformar en “vishing”) o que hagas clic en un enlace para que te otorguen el descuento deseado. Al hacerlo, podrías descargar una aplicación maliciosa para que el ciberdelincuente consiga acceso a tu teléfono y así obtenga datos personales o financieros.

Después de los videos que aparecen a continuación encontrarás información sobre “vishing“.

Te comparto algunos videos ilustrativos sobre la práctica de phishing:

 

 

 

 

Variante 3: vishing

El vishing es otra forma de ingeniería social, derivada del phishing, pero en lugar de utilizar un correo electrónico para engañar al usuario, lo hacen a través de llamadas telefónicas realizadas mediante el Protocolo Voz sobre IP (VoIP). El atacante realiza llamadas a números telefónicos de determinada región, cuando la persona contesta le alerta que “su tarjeta de crédito ha sido clonada” o cualquier otra situación similar, por lo que le invita a llamar a un número telefónico de emergencia para reportar el hecho.

Ese número suele ser gratuito y obviamente falso, donde se pretende suplantar la identidad de cierta institución comercial o financiera. Contesta una grabadora de voz pidiendo al cliente introduzca mediante el teclado de su teléfono toda la información sobre su tarjeta de crédito lo cual es requerido para verificarla y “bloquear” posibles cargos no autorizados. Una vez hecho lo anterior, el “visher” ha obtenido toda la información necesaria para realizar cargos fraudulentos a la víctima.

Te comparto algunos videos ilustrativos sobre la práctica de vishing:

 

 

 

¿Estas conductas están contempladas como delito en México?

Ninguna de las conductas antes descritas como ejemplos de “ingeniería social” están específicamente contempladas como delitos en nuestro Código Penal Federal. Sin embargo, estas conductas podrían caer en la figura conocida como “fraude genérico”.

  • Artículo 386 del Código Penal Federal.- Comete el delito de fraude el que engañando a uno o aprovechándose del error en que éste se halla se hace ilícitamente de alguna cosa o alcanza un lucro indebido. Sin embargo, dada la modalidad y características de las conductas anteriormente descritas, es muy difícil localizar a los ciberdelincuentes para poder procesarlos.

Joel A. Gómez Treviño