En els darrers dies s’ha llançat un atac de pesca inusualment ben elaborat contra els titulars de la targeta American Express. Sembla que l’estafa és una versió millorada d’una campanya de pesca anterior que es va veure el passat mes de març i que suplanta a American Express tan bé i amb un missatge tan astut que pot atraure amb èxit a moltes persones que normalment podrien detectar i evitar altres atacs de pesca.
signe del zodíac de l'1 de gener
En la nova estafa, els usuaris objectius reben un missatge de correu electrònic presumptament d’American Express (en almenys una variant, l’adreça de retorn apareix als objectius com AmericanExpress@welcome.aexp.com) per aconsellar al destinatari que es protegeixi del frau i de la pesca establint una 'Clau de seguretat personal d'American Express (PSK)' per millorar la seguretat dels seus comptes. El correu electrònic està ben escrit i formatat com un correu electrònic d'American Express; a diferència d'algunes de les versions anteriors, no conté enllaços mal etiquetats (és a dir, enllaços la descripció del qual del text conté un codi d'enllaç que no coincideix amb l'enllaç real).
El correu electrònic conté un enllaç a la part inferior per a 'Crea un PSK' i els usuaris que fan clic a l'enllaç es dirigeixen a una pàgina d'inici de sessió falsa d'American Express en un lloc a http://amexcloudcervice.com/login/ ( és difícil notar l’error ortogràfic, oi?). Tot i que la manca d’HTTPS també hauria d’alertar algunes persones sobre la probabilitat d’alguna cosa errònia, i qualsevol navegador que acoloreixi les barres d’URL en funció de l’ús del xifratge, òbviament, no ho farà en aquest cas, com he comentat en un article coautor amb Shira Rubinoff fa una dècada, molta gent es centra totalment en el contingut de les finestres del navegador i no presta atenció a les pistes de seguretat de la infraestructura del navegador.
Després d’haver proporcionat informació d’inici de sessió a la falsa pàgina d’American Express, i independentment de si la informació d’inici de sessió és correcta, es presenta als usuaris pàgines d’aspecte real perquè puguin introduir números de targeta, dates de caducitat de la targeta, codi CVV de quatre dígits, Números de la Seguretat Social, dates de naixement, cognoms de soltera de les mares, data de naixement de les mares, data de naixement i adreces de correu electrònic. Totes les sol·licituds d'informació apareixen en una interfície que imita la del lloc web legítim d'American Express, amb només defectes menors i difícils de detectar. Per descomptat, algú pot adonar-se que no hi ha cap motiu perquè American Express sol·liciti part d’aquesta informació (l’empresa, òbviament, coneix els números de la vostra targeta un cop hàgiu iniciat la sessió), però moltes empreses han estat formades de facto per les empreses de targetes de crèdit per respondre-hi. preguntes, després d'haver-se demanat que escrivís o recités els seus números i respongués a tot tipus de preguntes de seguretat en trucar als proveïdors per telèfon.
Per descomptat, hi ha hagut altres correus electrònics de pesca dirigits a clients d’American Express (com també hi ha hagut contra els titulars d’altres targetes de crèdit) i, com s’ha esmentat anteriorment, fins i tot alguns que exploten la tecnologia de seguretat SafeKey que ofereix American Express per a trucs addicionals. (Us heu adonat que el correu electrònic de pesca ha separat incorrectament SafeKey en dues paraules?)
Tot i diversos errors que els professionals de la seguretat de la informació poden trobar flagrants (heu notat el símbol © que falta a la part inferior?), L'atac actual sembla ben elaborat i, per tant, és més probable que molts enganyin els clients d'American Express, la majoria dels quals òbviament, no tracten els atacs de pesca com a part de la seva feina.
També cal assenyalar que tancar els phishers és difícil, tret que els mateixos autors siguin capturats, fins i tot si s’eliminen els sistemes de phishing, és senzill que els delinqüents rellancin els atacs mitjançant nous servidors. I no és tan difícil per a altres criminals copiar la interfície de pesca, afegir una mica de codi i llançar els seus propis atacs des d'altres servidors.
Llavors, com us heu de protegir?
Aquí teniu alguns suggeriments:
La conclusió: els delinqüents milloren contínuament en la creació de correus electrònics de pesca
- així que estigueu preparats.
