Montevideo, 17 de diciembre de 2019.
Esta semana la cadena de supermercados Devoto advirtió a la población de una página web que simulaba ser de la empresa, utilizando su nombre y logotipo, con la finalidad de que los usuarios se registren para obtener una gift card (tarjeta de regalo).
Se pide a los usuarios que luego de contestar unas sencillas preguntas se comparta el mensaje con 20 contactos.
Nuestro equipo de Escaneo de Vulnerabilidades y Hackeo Ético analizó el caso identificando que el dominio de la web: altanticgift.com, está en Dallas, Texas (Estados Unidos) y fue registrado hace 6 días.
Asimismo, el ícono que aparece de la gift card se carga desde un dominio inscrito desde hace ya un tiempo en Brasil. En dicho dominio se encuentra el archivo crossdomain.xml (permiten la carga de terceros dominios para archivos flash) con el siguiente contenido:
Varios de los sitios parecen haber sido sitios de “pruebas” como denotan sus nombres, algunos registrados en Brasil.
Si se analiza el código fuente del sitio del phishing se encuentra que se setea una cookie para que contabilice las veces en las que se presiona EMAIL. Cuando se llega a los 20, la página redirecciona a otro sitio donde se carga:
Hay registros de que dichos sitios utilizaban “pruebas” y realizaban acciones de phishing con formularios a completar donde se requería información personal y datos de tarjetas de crédito, vinculando a otras empresas tales como Antel.
En el caso particular de Devoto, cuando el usuario responde las preguntas que se le presentan, al indicar CONTINUAR requiere ingresar al mail e invitar amigos. Si se accede, genera automáticamente un mail que proporciona en el cuerpo del mismo un link para ser enviado. Dicho link contiene un identificador por el cual los atacantes pueden rastrear los contactos a los cuales se les ha enviado el mail. De este modo, en primer instancia, entendemos que se logra armar un “árbol de contactos” con información de los mail de todas las personas que hayan recibido y abierto el link.
El phishing es un método utilizado para hacerse pasar por una persona o empresa mediante comunicaciones electrónicas que aparentan ser oficiales. Se utiliza principalmente correo electrónico, redes sociales, WhatsApp, o se dirige al usuario a un sitio web falso. Estas prácticas fraudulentas son cada vez más comunes y tienen como fin principal estafar a los consumidores robando datos personales, tales como: nombre, ci, identificación de pasaporte, tarjetas de crédito, contraseñas, emails, entre otros.
Alertamos a la población a tener un inminente cuidado al momento de realizar registros aleatorios en la web, principalmente cuando se requiere proporcionar información personal. Ante la duda consultar con los proveedores sobre la veracidad de los sitios y en casos de esta índole alertar al Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Cert.uy) y al Departamento de Delitos Informáticos de la Jefatura de Policía.
