La Guardia Civil y Amazon sufren un intento de suplantación

Tal y como indica el título del artículo, la Guardia Civil y la compañía estadounidense Amazon (dedicada al comercio on-line) han sufrido un intento de suplantación. En ambos casos se ha utilizado su nombre para obtener un beneficio, el obtener información confidencial tanto personal como profesional.

Vamos a describir de un modo más detallado en que ha consistido y consiste este intento de suplantación de la Guardia Civil (indicar que la Guardia Civil española es un Instituto Armado de naturaleza militar que forma parte de las Fuerzas y Cuerpos de Seguridad del Estado).

Este ataque consiste en que en nuestro buzón de correo personal recibimos un mensaje remitido desde info@sede.guardiacivil.gob.es y con asunto «comunicacion e inspecciones», si observamos el dominio desde el que viene, guardiacivil.gob.es, cobra mucha credibilidad, por lo que nosotros, asustados y pensando en el que habremos hecho, abrimos el correo. (Como información decir que esta técnica de suplantación del remitente se llama spoofing).

Bien, comenzamos a leer el texto del correo y observamos que es un texto un tanto complejo de leer, el motivo es por lo mal redactado que está, lo cual si utilizamos el «filtro del sentido común» nos debería hacer que empezásemos a sospechar.

El correo trae un fichero adjunto, en el que se supone se indica la multa o la denuncia correspondiente. Por lo que vamos a proceder a la descarga del adjunto, pero cuando se va a realizar la descarga del fichero es cuando ya hemos de darnos cuenta de lo que sucede, ya que en caso de tratarse de un documento el archivo debería ser un «.doc«, «.pdf» o similar, pero en este caso se trata de un «.exe«. Al tratarse de un fichero ejecutable deberemos de darnos cuenta de que ese fichero no es un documento y que por lo tanto puede contener código malicioso.

Y efectivamente, si seguimos sin utilizar el «filtro del sentido común» y descargamos el fichero y lo ejecutamos, nuestro sistema será infectado por un código malicioso, al que las soluciones de seguridad de ESET detectan como un troyano Win32/TrojanDownloader.Banload.PFI. Cuando se haya ejecutado comenzará a descargarse archivos con el fin de robar información confidencial como son: usuarios, contraseñas y direcciones de correo.

En el caso de Amazon, también se inicia el proceso con la recepción de un correo electrónico. En este caso también se recibe el correo desde una dirección aparentemente oficial «auto-confirm@amazon.com«. Por lo que también podríamos darle cierta credibilidad al correo en caso de haber realizado alguna compra en Amazon, por lo que lo abrimos.

Tras abrirlo se observa que es un correo dirigido y personalizado hacia nosotros, y se refiere a una compra de software realizada en Amazon, aquí ya nos deberíamos dar cuenta de que algo ocurre, ya que no hemos realizado ninguna compra. En el caso de que hayan realizado alguna compra observaran que el correo suplantado es bastante fiel al contenido de un correo real de compra. Pero nada más lejos de la realidad, ya que si accedemos a cualquier enlace que nos indica en el correo nos dirigirá a un sitio web de mala reputación, al que posiblemente nuestro navegador antes de acceder nos lo indicará.

En el sitio al que nos dirige se venden programas y sistemas operativos a un precio realmente bajo, pero claro si realizamos una compra, deberemos introducir nuestros datos bancarios por lo cual estos datos habrían sido facilitados a bandas criminales.

En conclusión, si recibimos un correo en el que se nos habla de una compra que jamas hemos realizado eliminen directamente el mensaje. Si recibimos un correo «oficial» de cualquier entidad en el que se nos adjunta un documento deberemos comprobar la extensión del mismo, así como remitente, asunto y cuerpo. Indicar que un documento adjunto también podría incluir código malicioso.

Fuentes: Ontinet, Segu Info

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: