Sitios falsos de Banco Itaú buscan robar credenciales bancarias
ESET, compañía líder en detección proactiva de amenazas, analiza dos sitios falsos que se hacen pasar por el sitio oficial de Banco Itaú y buscan robar credenciales de clientes en Argentina y también en Brasil.
ESET, compañía líder en detección proactiva de amenazas, analiza dos sitios fraudulentos que buscaban suplantar la identidad de Banco Itaú, un reconocido banco de Brasil con presencia en varios países de América Latina.
Uno de estos sitios estaba dirigido a personas de Argentina y estaba en español, mientras que el segundo estaba en portugués y apuntaba a clientes de Brasil. Ambos sitios fueron reportados y dados de baja. Vale aclarar que el banco también es víctima de este tipo de campañas en las que se utiliza su nombre para engañar a sus clientes. De hecho, en la página oficial la entidad comparte algunas recomendaciones para evitar caer en distintos tipos de fraudes en su nombre y el de otros bancos.
Sitio falso dirigido a clientes de Argentina:
En el caso de la campaña que apunta a clientes en Argentina, los estafadores utilizaron una URL que incluye el nombre del banco y que tiene una apariencia similar al oficial. De hecho, el nombre del sitio es casi idéntico al nombre de usuario que utiliza el banco para sus cuentas de Twitter e Instagram, con una diferencia de apenas una letra. Esto es importante, ya que una búsqueda en Google puede llevar a una víctima a encontrarse con este tipo de sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda. Algunas veces bajo la forma de anuncios.
El diseño del sitio falso es una copia idéntica a la página oficial. Para supuestamente acceder al homebanking, también conocido como banca en línea, el sitio falso incluye los campos para que las víctimas ingresen sus credenciales de inicio de sesión y de esta manera robarlas.
Una vez que la persona ingresa su nombre de usuario y contraseña, el sitio muestra un contador de tiempo simulando que verifica los supuestos datos entregados. Si bien este paso puede resultar despreciable, no es casual: Los cibercriminales utilizan este tiempo para, de manera automatizada, iniciar sesión con las credenciales robadas en el sitio legítimo del banco y desencadenar el envío vía SMS del código del doble factor de autenticación al teléfono de la víctima, para luego solicitarlo en la siguiente pantalla.
Una vez completado el engaño, dando la víctima sus datos de acceso a los cibercriminales, el falso sitio lanza un mensaje de error y redirige al usuario al sitio oficial. Este paso adicional hace creer a la víctima que simplemente hubo un error, y no que cayó en una estafa.
Las campañas maliciosas que se valen de suplantar la identidad de compañías reconocidas suelen seguir patrones, lo cual las hace posible de distinguir. Para evitar caer en ellas, ESET comparte las siguientes recomendaciones:
- Asegurarse de que la dirección web visitada es la correcta y no una versión falsa.
- Verificar si el sitio web tiene un certificado de seguridad válido, y que el mismo esté firmado por la compañía que dice ser .
- Evitar proporcionar información personal o financiera si no es seguro que el sitio web es legítimo.
- No hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos, mensajes de redes sociales, de mensajería instantánea como WhatsApp o Telegram, o de texto sospechosos o de remitentes desconocidos.
- Utilizar software de seguridad para proteger el equipo contra el malware y otras amenazas.
