El phishing de las postales Gusanito es uno de los clásicos a la hora de robar contraseñas, las víctimas reciben una supuesta postal por correo y para verla deben ingresarla en una página falsa que simula ser la de Hotmail, Gmail, etc.
Algunos ataques más elaborados no se limitan al correo falso e incorporan una página falsa que parece ser la de Gusanito, hace algunas semanas comenté un caso que intentaba propagar un troyano camuflado en una supuesta actualización de Flash Player.
El siguiente es otro ejemplo detectado por el equipo del UNAM-CERT de México, todo comienza con una postal falsa enviada por correo que lleva a las víctimas hacia una página fraudulenta:
Página falsa carga aplicación de JavaAllí se ejecuta automáticamente una aplicación de Java maliciosa que modifica el archivo hosts de Windows para realizar redirecciones hacia páginas falsas de los bancos más conocidos. ¿Qué pasa con esto? si una víctima intenta acceder a su banco como lo hace siempre, en realidad estará cargando una página falsa y la URL que verá en la dirección será la del banco!
Este tipo de ataques son muy comunes y se denominan pharming local.
Pero esto no es todo, la página falsa de Gusanito también ejecuta un script que aprovecha una vulnerabilidad conocida de los routers 2wire de Telmex para realizar el mismo ataque de pharming, de esta forma si la víctima no se infecta localmente con Java, podría ser afectada desde el router y lo que es peor, todos los equipos de su hogar estarían cargando páginas falsas.
En el blog del UNAM-CERT podrás encontrar un análisis detallado del ataque y más capturas.
¿Cómo evitar estos ataques?
Tener Java actualizado es fundamental, un equipo con una versión de Java vulnerable puede ser infectado por el simple hecho de visitar una página especialmente diseñada, incluso equipos Linux y Mac pueden ser víctimas de estos ataques.
Por eso más de una vez recomendé no tener el complemento instalado si no se está pendiente de las actualizaciones disponibles.
En el caso del router, hay varias cosas que se pueden hacer como no utilizar las contraseñas que vienen por defecto, tener la red WiFi protegida con contraseña WPA/WPA2, restringir el acceso por medio de un firewall, bloquear la administración remota para que su configuración se pueda realizar sólo desde un equipo seguro y por supuesto, verificar que el firmware sea el último disponible por el fabricante.
No se puede hacer nada, más que alertar y educarlos en el uso de internet.
¿Cual es la acción a seguir cuando mas de un ciento de usuarios caen en estas trampas? Es decir… en más de una ocasión alerto a grupos de usuarios sobre este tipo de correos, sin embargo al menos uno de ellos resulta afectado. Saludos.