Bancos, cajas de ahorro, sitios de subastas, de pago online, empresas de traspaso de dinero, páginas de comunidades, oficinas de correos, agencias tributarias… todo este tipo de organizaciones (y más) han sido vÃctimas de ataques phishing. Ahora es el turno de los operadores telefónicos. Se ha detectado un caso de phishing a MoviStar que ha permanecido activo todo el fin de semana.
El ataque ha sido detectado desde al menos el sábado dÃa 1 de septiembre. Una URL que simulaba pertenecer al ‘Canal Cliente’ de MoviStar, pero que en realidad estaba alojada en un servidor comprometido, pretendÃa ser la compañÃa de Telefonica y robar los datos de la tarjeta de crédito de las potenciales vÃctimas.
El sitio, bastante conseguido, pretendÃa simular una recarga de tarjetas prepago de MoviStar. El usuario debÃa introducir el número de tarjeta de crédito, fecha de caducidad, código CVV y por supuesto, número de teléfono móvil y cantidad que deseaba recargar.
Probablemente se trate de una campaña potenciada a través de un correo basura que animaba a usuarios a recargar su móvil de forma cómoda a través de la página web oficial de MoviStar.
Este tipo de estafa destinada a robar los datos de tarjeta de crédito, se ha solapado en el tiempo con un nuevo ataque a la Agencia Tributaria. En enero ya alertamos sobre este caso en el que se animaba a la vÃctima a introducir los datos de su tarjeta de crédito en una página fraudulenta con la excusa de que Hacienda le devolverÃa cierta cantidad. Hace algunos dÃas, se ha vuelto a repetir la campaña. De nuevo una página simulaba ser la aeat.es y pedÃa datos sensibles.
En el pasado habÃamos tenido constancia de empresas fantasma que prometÃan recargar la tarjeta del teléfono móvil de cualquier compañÃa a través de Internet. Ahora se pretende lo mismo, pero simulando ser la operadora original.
Se puede observar una captura de pantalla en:
http://www.hispasec.com/images/unaaldia/MOVSTAR.png
La URL ha quedado desactivada durante la mañana del lunes. Dependiendo del ‘éxito’ de la operación quizás se repita.
Intentos como este merman la confianza de los usuarios en la compra online. Ya no solo son los bancos, parece que cualquier organización, empresa o compañÃa es susceptible de sufrir este tipo de ataques, incluso si la obtención de las contraseñas no redunda en un beneficio económico directo (como ocurrió con el salvaje ataque a MySpace en junio). Los phishers amplÃan horizontes… imaginación y recursos no les faltan.
Más Información:
14/06/2007 Avalancha de ataques phishing contra MySpace: Algunas teorÃas
http://www.hispasec.com/unaaldia/3155
30/01/2007 Se detecta un phishing basado en la Agencia Tributaria (Hacienda)
http://www.hispasec.com/unaaldia/3020
Sergio de los Santos
ssantos@hispasec.com