Estamos iniciando el año en que se jugará el Mundial de futbol y es natural que en los siguientes meses veamos varias campañas relacionadas con este evento. Habrá mucho marketing y promociones asociadas con el entusiasmo y el interés que genera el evento. Entre todo el marketing y correos electrónicos promocionales legítimos, podríamos recibir correos con premios prometedores como entradas gratuitas o notificaciones de la lotería diciéndonos que hemos ganado un automóvil, por ejemplo.
Si piensa que suena demasiado bueno para ser verdad podría estar en lo cierto.
Los estafadores trataran de aprovecharse del entusiasmo vinculado con la Copa Mundial que se llevará a cabo en Brasil en junio y las consecuencias de que los usuarios sean víctimas de un fraude podrían ser graves. Los estafadores no solo pueden vaciar una cuenta bancaria sino que también podrían llenar de malware nuestra computadora. Esto puede implicar el robo de datos personales al descargar un Troyano o comprometer nuestro equipo y hacerlo parte de un Botnet.
En los últimos días, Symantec ha detectado varios correos fraudulentos relacionados con el Mundial de futbol, a continuación los detalles.
El primer ejemplo de fraude que Symantec identificó es un correo electrónico similar al que mostramos a continuación, el cual contiene un vínculo a un código malicioso:
Versión en portugués:
De: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@Domain.com
Asunto: Copa do Mundo FIFA 2014
Figura 1. Traducción del encabezado del correo electrónico con código malicioso (malware)
Figura 2. Ataque de código malicioso relacionado con el Mundial de la FIFA
Figura 3. Traducción del contenido del correo electrónico con malware
Se invita al usuario a hacer clic en la liga para imprimir el boleto al partido.
Pero, la liga lleva a un URL malicioso que descarga un archivo adjunto llamado eTicket.rar y que contiene el programa ejecutable: eTicket.exe, como se muestra en la imagen a continuación.
Figura 4. Imagen del archivo adjunto (malware) que se descarga al hacer clic en la liga
Al ejecutarlo, se instala el archivo thanks.exe en el directorio de Programas/Inicio y se activa un Troyano en constante evolución Infostealer.Bancos y ese archivo continuará funcionando en segundo plano sin que el usuario lo note. Luego, tratará de evadir las medidas de seguridad, robar información financiera confidencial, registrar los datos recolectados y finalmente los enviará al atacante remoto. También hemos descubierto que el malware está dirigido especialmente para las instituciones financieras brasileras.
Los clientes de Symantec están protegidos contra este ataque gracias a la tecnología de “Seguimiento de vínculo” (‘Link following’), que revisa todas las páginas de Internet referidas en un correo electrónico en busca de virus u otras amenazas, lo que permite identificar el malware en el URL incluido en el mensaje. A partir de esto, se creó la detección para que en el futuro los correos que contuvieran diferentes ligas a este malware, sean reconocidos como infectados y puestos en cuarentena.
Otro ejemplo de engaños en Internet relacionados con este tema es una supuesta promoción de la marca CIELO en Brasil. CIELO es un operador de tarjetas de crédito y débito en Brasil.
Figura 5. Phishing por correo electrónico relacionado con el Mundial 2014
El mensaje traducido es el siguiente:
Figura 6. Traducción del contenido del contenido del correo de phishing
Al dar clic en la liga dentro del correo con el siguiente URL:
<http://conteudo.casavilaverde.com/logs/copa2014/index.php?%email%>
Se redirige al usuario a:
http://cielobrasil2014l.fulba.com/copa,fuleco.dll/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html
Entonces la página de Internet solicita al usuario ingresar su nombre, fecha de nacimiento y el número de identificación fiscal de Brasil (Cpf).
Figura 7. El URL del phishing abre la página de Internet alterada y solicita datos personales.
Al proporcionar la información, el usuario es dirigido a la página que mostramos abajo que solicita los datos bancarios de los usuarios.
Figura 8. La página de Internet alterada solicita datos bancarios.
En un análisis más profundo encontramos que el dominio conteudo.casavilaverde.com está hackeado y se muestra como:
Figura 9. El dominio del URL en el correo está hackeado
Finalmente, el tercer ejemplo detectado por Symantec es una nueva versión de estafa nigeriana con los siguientes encabezados:
De: “FIFA 2014 World Cup Award”<globalpromotions@ @[domain].ru>
Asunto: Window Live Games 2014 FIFA World Cup
Figura 10. Adjunto del ejemplo de fraude nigeriano relacionado con el Mundial
El correo incluye un archivo adjunto que supuestamente es un premio patrocinado por grandes marcas y para obtenerlo se solicita al usuario información personal. El correo también contiene una nota que trata de parecer legítima pero inmediatamente se advierte que es algo amateur en comparación con los otros dos ejemplos mencionados. No hay imágenes ni URL en este correo y el hecho de que contenga un adjunto Word hace que resulte sospechoso.
Los sistemas de monitoreo avanzados de Symantec pudieron identificar los tres ejemplos de estafas electrónicas presentadas en este blog protegiendo así a nuestros clientes.
Mientras que los primeros dos correos están redactados en portugués dirigidos a personas en Brasil, los correos no deseados pueden personalizarse fácilmente por regiones, países e idiomas, teniendo en cuenta el interés que existe actualmente en el futbol.
Los eventos mundiales pueden ser muy lucrativos para los estafadores ya que tienen el potencial de estafar a más cantidad de personas debido al interés sobre dichos eventos. Como consecuencia, Symantec espera que la cantidad de correos fraudulentos se incremente a medida que se acerca la fecha del evento.
Como medida preventiva para los usuarios recomendamos no compartir información personal o confidencial. Debido al riesgo de pérdida financiera y de información confidencial en juego, Symantec aconseja a los usuarios estar alerta y seguir los siguientes consejos de seguridad:
- Ser precavido al recibir correos no solicitados, inesperados o sospechosos
- Evitar dar clic en ligas incluidas en correos sospechosos, no solicitados o inesperados
- Evitar abrir archivos adjuntos en correos no solicitados
- Mantener actualizado el software de seguridad
- Actualizar las firmas antispam de forma periódica.
Symantec constantemente monitorea los ataques de spam para asegurarse de informar a los usuarios con información sobre las más recientes amenazas.
¡Que no te tomen fuera de lugar cuando se trata de ofertas y promociones, especialmente aquellas que parecen muy buenas para ser verdad!