Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/11/2012
Netcraft advierte acerca del crecimiento de phishing que se basa en adjuntos HTML
Los ataques de phishing se basan normalmente en un vínculo plantado en un mensaje de correo electrónico inteligentemente diseñado para convencer a los usuarios de entregar sus datos personales. Sin embargo, en el último período, el número de fraudes de phishing que utilizan adjuntos HTML ha aumentado considerablemente, informa Netcraft.
Los expertos han identificado recientemente un ataque de phishing que tiene como objetivo a los clientes de Barclays.
Los correos electrónicos tienen el siguiente texto:
"Estimado cliente de Barclays OnlineSM:
Los servicios técnicos del Banco Barclays están realizando un mantenimiento de software planificado. Te pedimos encarecidamente que visites el formulario adjunto para iniciar el proceso de confirmación de tus cuentas en línea.
Para empezar, por favor descarga el formulario y sigue las instrucciones en la pantalla.
Nota: Esta instrucción ha sido enviada a todos los clientes del banco y es obligatorio seguirla. Gracias por su cooperación.
Saludos
Sean Gilchrist
Director de Banking Digital"
El archivo adjunto contiene un formulario que pide a los destinatarios que escriban su nombre, fecha de nacimiento, número de teléfono bancario de cinco dígitos, número de cuenta y código de tipo de cuenta.
Cuando se pulsa el botón Actualizar, toda la información se envía a un servidor web remoto a través de una solicitud POST.
Los expertos creen que los ladrones prefieren adjuntar sus páginas web maliciosas directamente a los correos electrónicos porque de esta manera es menos probable que sean bloqueadas por los sistemas anti-phishing. Además, el contenido del archivo adjunto es ofuscado para impedir que las soluciones de seguridad lo identifiquen como una amenaza.
Estos tipos de estafas son llamados ataques de phishing "drop site" porque la única URL implicada es la del sitio donde se coloca la información robada.
"Estos sitios drop pueden ser difíciles de reconocer sin el correo de phishing. Por lo general, la página de 'drop' simplemente procesa los detalles de la víctima y no proporciona ninguna indicación sobre su verdadera naturaleza. Algunos sitios de este tipo redireccionan a la página web real del objetivo", explicó Vince Zarola de Netcraft.
"Esto podría suscitar la sospecha de los grupos anti-phishing, pero no puede proporcionar suficiente evidencia para que puedan bloquear la dirección URL sin el correo adjunto".
Sin embargo, estos ataques pueden ser bloqueados por las soluciones de seguridad si pueden detectar la solicitud POST que se utiliza para enviar la información robada a los ciberdelincuentes.