8FFR23-01225-01 CSIRT advierte sitio falso que suplanta al Banco Ripley
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile (CSIRT de Gobierno), ha identificado la activación de una página fraudulenta que suplanta al Banco Ripley, la que podría servir para robar credenciales de usuario. |
Lo anterior constituye una falsificación de la marca institucional que podría afectar a usuarios, clientes y a la entidad aludida.
Advertencia sobre gestión de IoC
Los patrones expresados en forma de
hash de un archivo pueden ser administrados con herramientas centralizadas y
distribuidas, como firewall y antimalware. Las organizaciones deben tomar
resguardo de incorporar un hash que pudiere estar vinculado a un archivo o DLL
válida dentro de un sistema.
Al gestionar patrones potencialmente
maliciosos con nombres de host o IP, se debe considerar que la relación entre
nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica
puede estar siendo usada por un proveedor de web hosting que puede tener más de
un dominio asociado a dicha IP.
En consecuencia, se recomienda tener
un orden de prioridades a la hora de ejecutar un bloqueo, considerando al
menos:
- El uso de un dispositivo WAF que pueda discriminar el
nombre FQDN potencialmente malicioso por sobre la IP. - El uso de un firewall que permita integrar listas de
bloqueo FQDN sin necesitar conversión a IP. - El uso de sistemas proxy que permitan bloquear el FQDN
sin necesitar la conversión a IP. - En última instancia, incorporar el bloqueo de la IP
verificando que no corresponda a un esquema de web hosting, porque existe
la posibilidad de bloquear los restantes dominios implementados que
utilizan la misma dirección IP.
Indicadores de compromiso
Antes de aplicar bloqueos, tenga
presente lo indicado en el punto anterior sobre advertencia de gestión de IoC.
URL sitio falso:
https://bit[.]ly/3iHv9uH?l=www.bancoripley.cl |
https://sam-tech[.]jp/bancoripley/cuenta-dusc/ |
https://web.bancoripley.cl.ngyokonutmarket[.]com/1677094832/login |
Certificado Digital
Fecha Válido | 21 Feb 2023 |
Fecha Término | 22 May 2023 |
Emitido | Google Trust Services LLC |
Datos Alojamiento
IP | [213.238.167.92] |
Número de Sistema Autónomo (AS) IP | 207459 |
Etiqueta del Sistema Autónomo IP | Taner Temel |
Registrador IP | RIPE NCC |
País IP | TR |
Dominio | ngyokonutmarket.com |
Registrador Dominio | N/A |
Recomendaciones
- Los usuarios deberían procurar:
- No abrir correos ni mensajes de dudosa procedencia,
pues pueden re direccionarlos a sitios web fraudulentos. - Desconfiar de los enlaces y archivos en los mensajes o
correo. - Solicitar que sus plataformas (Office, Windows, Adobe
Acrobat, Oracle Java y otras) estén actualizadas. - Ser escépticos frente ofertas, promociones o premios
increíbles que se ofrecen por internet. - Prestar atención en los detalles de los mensajes o
redes sociales. - Solicitar que todas las plataformas de tecnologías y
de detección de amenazas estén actualizadas. - Siempre intentar verificar que los sitios web que se
visitan sean los oficiales. - Notificar oportunamente a sus encargados de
ciberseguridad para que investiguen el incidente, comprueben si ha
llegado a otros usuarios y apliquen las mitigaciones pertinentes. Algunas
señales que debieran gatillar un informe inmediato:- Accedí a un sitio web y luego de entregar mis
credenciales no permite acceder al sitio y sus servicios. - Realicé una transacción (compra de producto, reporte
en una institución del estado, acceso a un servicio, entre otras
posibilidades) en un sitio o sistema web que parece oficial, pero no lo
es. - He identificado un sitio o sistema web que a mi
entender es fraudulento.
- Accedí a un sitio web y luego de entregar mis
- Los administradores deben:
- Implementar controles anti spoofing (DKIM, SPF y
DMARC). - Revisar la información que se expone de sus usuarios
en sus sitios y sistemas web. - Filtrar o bloquear los correos entrantes que sean
clasificados como phishing. - Evaluar el bloqueo preventivo de los indicadores de
compromisos. - Revisar los controles de seguridad de los antispam y
sandboxing. - Instruir a sus usuarios sobre el phishing y ayudarlos
a reconocerlos. Realizar concientización permanente para los usuarios
sobre este tipo de amenazas. - Crear mecanismos amistosos para el reporte y el
feedback, en un entorno donde no se busque la culpabilidad, sino que la
solución. - Implementar y promover el uso de segundo factor de
autenticación (2FA). - Proteger a sus usuarios de sitios maliciosos usando
proxy servers y manteniendo actualizados sus browsers. - Proteger sus dispositivos del malware.
- Activar la protección de filtro de sitios web en sus
sistemas de seguridad, en particular aquellas categorías de sitios
maliciosos o fraudulentos. - Tener un protocolo de respuesta rápido ante estos
incidentes. - Detectar rápidamente estos incidentes instando a los
usuarios a que reporten rápidamente cualquier actividad sospechosa.
- Implementar controles anti spoofing (DKIM, SPF y
- No abrir correos ni mensajes de dudosa procedencia,
- Para obtener los IOC de este informe visite el
siguiente enlace:
Informe
El informe oficial publicado por el
CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FFR23-01225-01