En las últimas horas llegó al laboratorio de ESET un correo de lo que parece ser una nueva campaña de phishing. En ella se suplanta la identidad de Mercado Pago, uno de los mayores proveedores de sistemas de cobros y pagos online de América Latina. El mensaje, de carácter urgente, notifica al usuario que su cuenta fue suspendida.

Imagen por Tetiana Yurchenko vía Shutterstock
La forma en la que los operadores detrás de esta campaña intentan suplantar la identidad del servicio legítimo es mediante el uso del logotipo de la marca. Pero si nos detenemos en la dirección de correo que utilizan podemos corroborar que un primer indicio de que se trata de un correo falso es que el dominio utilizado es completamente distinto al legítimo. El correo no está dirigido a un usuario con nombre y apellido, sino que replica en el asunto la dirección de correo del destinatario. Tras analizar el enlace al que redirige el botón de “Contáctanos” pudimos observar que el servidor al que redirecciona tampoco es de la empresa.
No obstante, si un usuario desprevenido interpreta que es legítimo y accede al enlace, en caso de utilizar un servidor de correo con una solución antiphishing como Gmail, será alertado nuevamente. En caso de que la potencial víctima utilice otros servicios o aplicaciones de correo y pinche en el botón, automáticamente será redireccionado a un sitio en el que se suplanta la identidad de la popular plataforma de pagos online.
Robo paso a paso
Si el usuario sigue los pasos que solicita el engaño llega una instancia en la que se solicita que ingrese la contraseña. Para el análisis ingresamos datos ficticios que no tienen ningún tipo de validación en línea por parte del servidor, salvo al momento de llegar a la siguiente instancia donde se solicita ingresar todos los datos personales, incluyendo la información completa de la tarjeta de crédito o débito asociada al servicio de pagos online.
Llama la atención en este punto que la campaña cuenta con un validador de números de tarjeta, ya que ingresando la cantidad necesaria, pero con un numero ficticio, el sistema no permite continuar (utilizamos un generador de números de tarjetas aleatorio para el análisis).
Nuevamente llama la atención cómo los ciberdelicuentes detrás de esta campaña de phishing buscan hacerse de las imágenes de los documentos y tarjetas de las víctimas.
Solo con la finalidad de continuar el proceso hasta llegar al final del engaño ingresamos archivos de imágenes en blanco y corroboramos que el ciclo termina con el aviso de “identidad confirmada”.
Una vez que la víctima ingresa todos los datos es redirigida al sitio oficial del servicio. Luego, si la víctima ingresa sus credenciales de acceso podrá ingresar a su cuenta sin problemas, creyendo tal vez que logró reactivar su cuenta tras la notificación de suspensión de la cuenta, aunque no sin antes entregar toda su información personal y financiera a los ciberdelincuentes.
Origen: Nueva campaña de phishing suplanta identidad de conocida plataforma de pagos online | WeLiveSecurity