Simulan ser el BBVA para robar números de tarjetas, usando un "viejo truco de ingeniería socia".
La semana pasada, un número indeterminado de personas recibía un correo electrónico no solicitado donde se les instaba a rellenar el formulario de una página web, para ser clientes del servicio BBVAnet. Datos personales, número de tarjeta de crédito, fecha de caducidad e incluso el PIN iban a parar a la base de datos de los atacantes, cuya identidad se desconoce. Es la primera vez que este truco de ingeniería social se utiliza contra una entidad bancaria española.
El Banco Bilbao Vizcaya Argentaria actuó con celeridad y, a las 24 horas, la web fraudulenta y el sitio donde se recogían los datos estaban fuera de línea. La web mostraba el logo de BBVAnet y parecía oficial, aunque sorprendía la cantidad de datos que pedía. El mensaje no solicitado también levantaba suspicacias: empezaba con un "estimado cliente del BBVA", aunque lo recibieron no clientes, y seguía: "Le comunicamos que próximamente, usted no (sic) se podrá subscribir en Banca Online". Una errata, a juzgar por el contenido, que instaba a suscribirse a BBVAnet.
La web estaba registrada en Estados Unidos, en la empresa Freeservers.com, que rápidamente la cerró. Según un experto consultado, "estaba todo hecho de forma profesional y con dedicación, ya que el código de la página que suplanta al BBVA está ofuscado. En vez de escribir el código HTML directo, está cifrado vía JavaScript y la construcción del formulario se hace en el navegador del usuario. Así, pueden saltarse los sistemas de filtrado de contenido y hace que el rastreo sea relativamente complicado".
El origen del mensaje es igualmente oscuro: "Se ha enviado desde una conexión ADSL, pero viendo el nivel de complejidad de la página HTML, apostaría que se ha secuestrado una máquina con poca seguridad, para lanzar los mensajes. Me costaría mucho creer que se haya molestado tanto en ofuscar el código HTML y después utilizar para el envío una máquina fácilmente identificable y rastreable, que no disponía de ninguna medida de seguridad, ni las más básicas, permitiendo conexiones anónimas y remotas vía Internet a las unidades de disco compartidas", afirma el experto.
El banco desconoce cuántos datos se obtuvieron ni si se han realizado operaciones con ellos. Aunque esta técnica de ingeniería social es conocida en los manuales, es la primera vez que se conoce su aplicación masiva suplantando a una entidad financiera española. Algo parecido sucedía a principios de mayo en Gran Bretaña, según publicaba "eWeek": "Se están enviando mensajes fraudulentos a los clientes de First Union, donde se les pide que visiten una web e introduzcan sus nombres de usuario y contraseñas. Sólo mirar la web ya trae problemas, porque instala automáticamente un troyano en la máquina del visitante. No está claro cómo el atacante ha tenido acceso a las direcciones de correo de los clientes del banco".
------------------------------------
Fuente: www.vsantivirus.com, images.google.es
------------------------------------
