El laboratorio de la firma de seguridad ESET avisa de un correo de lo que parece es una nueva campaña de phishing. En ella se suplanta la identidad de Mercado Pago, uno de los mayores proveedores de sistemas de cobros y pagos online de América Latina. El mensaje, de carácter urgente, notifica al usuario que su cuenta fue suspendida.
Ciberdelincuentes detrás de una nueva campaña de phishing (como se llama a las estafas con suplantación de identidad) se hacen pasar por Mercado Pago y engañan a los usuarios para robarles información de sus tarjetas de crédito o de débito asociadas a la plataforma de pagos online.
No obstante, si un usuario desprevenido interpreta que el mail es legítimo y accede al enlace, en caso de utilizar un servidor de correo con una solución antiphishing como Gmail, será alertado nuevamente. En caso de que la potencial víctima utilice otros servicios o aplicaciones de correo y pinche en el botón, automáticamente será redireccionado a un sitio en el que se suplanta la identidad de la popular plataforma de pagos online.
El correo utiliza la imagen (el isologotipo) de la marca pero, si se observa la dirección del mail del remitente, puede corroborarse que se trata de un correo falso dado que el dominio utilizado es diferente al legítimo. Además, el correo no está dirigido con nombre y apellido al usuario de Mercado Pago, sino que replica en el asunto la dirección de correo del destinatario.
Llama la atención en este punto que la campaña cuenta con un validador de números de tarjeta, ya que ingresando la cantidad necesaria, pero con un numero ficticio, el sistema no permite continuar (utilizamos un generador de números de tarjetas aleatorio para el análisis).
Nuevamente llama la atención cómo los ciberdelicuentes detrás de esta campaña de phishing buscan hacerse de las imágenes de los documentos y tarjetas de las víctimas.
Pese a este detalle, esta estafa es viable porque "casi la mitad de los internautas sigue sin saber exactamente qué es el phishing, lo que los deja expuestos a ser víctimas de este tipo de engaños", analizó el investigador Luis Lubeck.
Si la víctima interpreta que el correo es legítimo y cliquea el enlace, se le redirecciona a un sitio cuya estética es una copia de Mercado Pago, en el que le solicitan el ingreso de usuario y contraseña. "Hasta ese momento los datos no tienen ningún tipo de validación en línea por parte del servidor, hasta el siguiente paso donde se solicita ingresar todos los datos personales, incluyendo la información completa de la tarjeta de crédito o débito asociada al servicio de pagos online", describe.
Una vez ingresados los datos, los ciberdelicuentes buscan obtener las imágenes de los documentos y tarjetas de las víctimas, y el ciclo finaliza con el aviso de "identidad confirmada". Una vez que ingresa todos los datos la víctima es redirigida al sitio oficial de Mercado Pago, en donde podrá ingresar a su cuenta sin problemas, quizás con la idea de que logró reactivar su cuenta tras la notificación de suspensión. Pero para ese entonces, los ciberdelincuentes ya obtuvieron sus datos personales y financieros, indicó La Arena.
"Es cada vez más importante prestar atención a los sitios a los cuales ingresamos, contar con una solución de seguridad confiable tanto en nuestros dispositivos de escritorio como en nuestros teléfonos y tener presente que, ante la duda, no debemos acceder nunca a los enlaces que llegan a través de un mensaje, sino que lo mejor es ingresar manualmente y de esa manera verificar que todo esté en orden", recomendó Lubeck.