A la campanya comentada anteriorment, se suplanta la identitat d’entitats bancàries, com Santander i BBVA, a través de correus electrònics maliciosos. Hi vénen adjunts arxius que suposadament són la factura d’un pagament o una liquidació d’aquest.
A continuació, es mostren exemples d’aquest frau:
Banc Santander
Al correu, suposadament del Banco Santander, es pot observar que amb l’assumpte “Confirmació – Avís de pagament” s’intenta cridar l’atenció de la víctima.
Al cos del correu s’informa, que s’adjunta una carta de liquidació d’un pagament, la qual és un fitxer maliciós. Per aconseguir la confiança de l’usuari, proporciona consells de seguretat en línia, mitjançant un enllaç.
L’adreça de correu simula un compte oficial del Grup Santander amb l’usuari “fycout@gruposantander.es”. Aquesta tècnica denginyeria social es coneix com email spoofing.
Aquest correu no sembla contenir faltes ortogràfiques que el delatin, en canvi, no té logotips de l’entitat i el format del correu és molt simple.
Adjunt al correu, ve l’arxiu comprimit amb la suposada carta de liquidació financera, la qual s’incita a revisar per comprovar-ne les dades.
En descomprimir el fitxer, el nom de l’executable (.exe) sol ser una successió de números i lletres com “210909836-042205-sanlccjavap0003-3991.exe”.
En comprovar aquest fitxer amb eines com VirusTotal de detecció de malware i URL malicioses, analitza l’arxiu i detecta que és un malware de tipus troià.
BBVA
Al següent correu podrem observar un mètode similar al utilitzat anteriorment. En aquest cas, el correu suposadament procedeix del BBVA.
En aquest correu, es proporciona l’assumpte “BBVA-Confirming Factures Pagades al Venciment” i procedeix d’un compte simulant formar part del BBVA confirming.bbva_bbva@accitraf.com. El format d’aquesta adreça de correu és molt diferent de la que utilitza l’entitat bancària. El domini no té cap relació amb el BBVA, cosa que ens pot donar una pista per identificar que no és verídic.
A través del correu s’adjunta informació relativa a “factures pagades al venciment” adjuntant un fitxer comprimit, el qual suposadament conté aquesta factura.
Aquest correu tampoc no sembla contenir faltes ortogràfiques que el delatin, i igual que en el cas anterior, no té logotips de l’entitat i el format del correu és molt simple.
En aquest email també es pretén guanyar la confiança de l’usuari per mitjà de consells de seguretat, com recordar quines dades no s’han de proporcionar per mitjà de correu electrònic, a més d’utilitzar avisos formals habituals en entitats en què es parla de la privadesa i confidencialitat de les dades adjuntes.
Un cop descarregat el fitxer maliciós i descomprimit, es pot observar un nom com “FacturesPagadasalVenciment.PDF.vbs”. A primera vista, es pot confondre amb un fitxer PDF, però realment és un script (codi) de Visual Basic (eina de codi).
Si es comprova en eines com VirusTotal de detecció de malware i URL malicioses, i s’analitza l’arxiu, detectarà que és un malware de tipus troià.
T’agradaria estar a la darrera amb la informació dels nostres avisos? Anima’t i subscriu-te a els nostres butlletins o al perfil de Twitter @osseguretat i Facebook. Seràs el primer a assabentar-te dels darrers avisos de seguretat dirigits a ciutadans. També posem a la teva disposició la Línia gratuïta d’ajuda en Ciberseguretat d’INCIBE: 017, i els nostres canals de missatgeria instantània WhatsApp (900 116 117) i Telegram (@INCIBE017).
