Phishing Santander – Amenaza de robo comprobada
- Dominio de procedencia: el dominio de la dirección del remitente no es ni siquiera de Banco Santander, la máscara del buzón pretende ser del Santander, pero ya debería intuirse innecesariamente larga y poco creíble como parte del SAC del banco.
- Imagen de marca - Branding: de la misma forma, debería esperarse un logo oficial o material gráfico específico teniendo en cuenta que supuestamente te están informando de un cambio importante e inesperado. Otro motivo para la sospecha.
- Incongruencias de contenido: faltas de ortografía, incongruencias en las formas verbales y el tratamiento de tú o usted aleatorio, artículos que discrepan del género del sustantivo, etc. No es el único intento de phishing Santander con tan mala calidad.
- Web impostora + Smishing: la ingeniería social y la tendencia al descuido en lo que gestionamos sobre pantalla nos lleva a la verdadera trampa, aquí en forma de enlace hacia una página web falsa. Además ya avanza la posibilidad de recibir un SMS, los ciberdelincuentes han montado una doble trampa por si fuera poco con una...
- Web falsa de Banco Santader: el enlace del correo electrónico es un short-link hacia la dirección verdadera de la página trampa, un caso de suplantación de identidad flagrante.
- Dirección de la web: el dominio pertenece a una compañía rusa de alojamiento web y telecomunicaciones, la parte de los delincuentes es el subdominio, generado al azar por la alta volatilidad de estas webs falsas (trampas) y por la gran cantidad que se generan, no creas que esto lo hacen para robar solamente a clientes de Banco Santander.
- Contenido de marca: aquí sí que se observa mucho esmero en hacer aparecer la web como material oficial de la entidad bancaria. Ingeniería social basada en ofrecer elementos visuales familiares al ojo del público, por eso el gran número de subdominios: literalmente miles.
- Elementos de acceso habituales: la selección "Particulares" o "Empresa" es típica, otro elemento para dar mayor credibilidad .
- Culminación del Phishing: el corazón, la verdadera trampa. La confiada víctima introduce su usuario y contraseña y de paso revela su ID, para España sería el DNI o el NIF. Estos datos acaban en un listado y tu cuenta será vaciada de golpe o muy despacio, en función de la táctica de los cibercriminales.
- IP de la web impostora (Rusia): no son pocos los ataques e intentos de robo procedentes de Rusia. Todo un clásico del nuevo Far West digital.
- Identificación de la subred: es decir, el código de la compañía de alojamiento web, lo que denominamos la Red Autónoma, una de las "ramitas" que componen el "árbol" de Internet.
El Estado ruso es totalmente indulgente con las empresas ligadas a las TIC y le importa bien poco si estas dan cobijo al cibercrimen. De hecho una de las doctrinas geopolíticas del Kremlin (léase Vladimir "Malvado" Putin) considera la ciberdelincuencia como una entrada de divisas y un escenario de pruebas válido para intrusiones y ataques ante un teatro táctico de Guerra Digital. ¿A quién van a robar en Rusia? Al pueblo no, estan "pelaos"... ¿A los oligarcas? Tampoco, ya que probablemente trabajen para ellos... - 1680 webs potencialmente falsas forman la telaraña: una red maligna de webs falsas esperando al incauto, negligente o sencillamente, despistad@.
- De hecho hemos registrado otros casos alojados también en IPs alemanas, la dispersión es típica (ver caso scamp web Santander).
Agradecimientos
El tiempo y recursos para investigar y publicar estos casos reales de scams o fraudes online y otras ciberamenazas provienen de contribuciones de Pymes locales.
