En estos días se conoció un nuevo caso de phishing que tiene como target a los usuarios de Mercado Pago, uno de los mayores proveedores de sistemas de cobro y pagos online en América latina, según informa la empresa de ciberseguridad Eset en su blog We Live Security. El mensaje, de carácter urgente, notifica al usuario que su cuenta fue suspendida. Pero, en realidad, se trata de un correo falso que busca robar información sensible.
Si bien el mensaje puede parecer legítimo a primera vista hay suficientes indicios para confirmar que un correo falso y que no fue enviado por la empresa. Por caso, los investigadores de la empresa descubrieron que el servidor de correo no se corresponde con el de Mercado Libre.
A continuación, se redirige al usuario a un sitio que emula ser la web de Mercado Pago. Allí, se le pedirán todos los datos necesarios para, supuestamente, validar correctamente la identidad.
El usuario, si no se da cuenta de que esto se trata de un engaño, entonces completará todos los datos que se le solicita para, supuestamente, restablecer la cuenta. Los datos incluyen nombre completo, dirección, localidad pero también en qué banco tiene la cuenta el usuario y los números de su tarjeta así como también la clave de validación.
Una vez que la víctima ingresa todos los datos es redirigida al sitio oficial del servicio. Luego, si la víctima ingresa sus credenciales de acceso podrá ingresar a su cuenta sin problemas, creyendo tal vez que logró reactivar su cuenta tras la notificación de suspensión de la cuenta, aunque no sin antes entregar toda su información personal y financiera a los ciberdelincuentes.
¿Qué es el phishing?
Se trata de un típico caso de phishing, una modalidad de estafa cuyo fin es obtener datos de un usuario (claves, cuentas bancarias, números de tarjeta de crédito).
Puede producirse de varias formas: por un mensaje de texto a un celular, una llamada telefónica, un sitio web que simula ser una entidad, una ventana emergente, y la más usada y conocida, un correo electrónico.
Este tipo de estafa sería la que se conoce como phishing masivo, pero también existe la modalidad dirigida.
Esta última se trata de un engaño a una persona en particular y requiere de ingeniería social para llevarse adelante con éxito, es decir, requiere de una investigación previa para averiguar los datos del sujeto que luego permitirá robarle sus datos personales y “hackearlo”.
El término phishing provene de inglés fishing (pescar), porque en estas estafas se trata de «pescar» desprevenido al usuario que, quizás, asustado por un problema con su tarjeta de crédito ingrese sus datos sensibles en un sitio que a primera vista parece un sitio legítimo.
Los ciberdelincuentes, luego, tienen toda la información necesaria para clonar la tarjeta o usarla para realizar compras en línea.
En otra oportunidad, Infotechnology confeccionó una serie de tips para aprender a reconocer sitios falsos y evitar caer en estafas de phishing.