Alerta por campaña de Phishing con logotipo de BANRURAL – No dejarse engañar

Continúan las campañas de correo masivo tipo Phishing.

Detectamos en la semana antes de Semana Santa dos diferentes campañas de correos tipo Phishing que utilizan/abusan del logotipo de BANRURAL.

Como ya es de conocimiento general, se denomina Phishing al mecanismo de ingeniería social, utilizado por criminales cibernéticos, para engañar al usuario a entregar datos confidenciales. Utilizan mensajes de correo electrónico muy bien diseñados para parecer auténticos, utilizando logotipos de entidades y empresas conocidas, suplantando la identidad de las mismas y continua siendo la estrategia preferida para propagar malware, penetrar redes/servidores y "pescar" datos confidenciales.

Los datos que intentan "pescar" son, entre otros:

  • Nombre de usuario
  • Clave de Acceso
  • Teléfono
  • Número de Identidad
  • NIT

Otro objetivo de este tipo de correos, es la instalación de programas maliciosos, tales como

  • Ransomware (¡!)
  • Grabadores de Pulsaciones del Teclado (Keylogger)
  • Programas de Control Remoto
  • Etc., etc., etc.

Untitled

¿Cuántos errores ortográficos encuentras en esta imagen?



Untitled2

Recomendaciones:

  1. Aprender a reconocer los mensajes de este tipo
  2. o Utilizan nombres de empresas y entidades reales, así como los remitentes. Y aunque conozca la entidad o persona remitente, preguntarse lo mismo para ambos escenarios: ¿Estoy esperando correo de esta entidad?
    o Revisar cuidadosamente la ortografía. Frecuentemente el atacante, no es de habla hispana y comenten errores de ortografía.
    o Incluyen capturas de sitio Web real, visualmente indistinguible.
    o Los temas de las campañas pueden ser (entre otros):
    • Recuperar cuenta
    • Cuenta bloqueada
    • Formulario adjunto
    • Factura adjunta

  3. Verificar la fuente de información de correos entrantes
  4. Nunca ingresar al Banco por medio de enlaces recibidos en correos electrónicos.
  5. Mantener actualizados los sistemas AntiSpam, AntiVirus. Contratar servicio AntiPhishing.
  6. Revisar periódicamente todas las cuentas de Banco en línea.
  7. Si hay duda, no arriesgarse y eliminar el correo y/o consultar expertos.

Jorge Utrera
Equipo de Respuesta a Incidentes – SISAP
Marzo 2016

No hay comentarios

Agregar comentario