8FPH20-00257-01 CSIRT informa phishing con falso crédito aprobado por programa Covid-19
CSIRT advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene del Banco Security.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene del Banco Security.
El atacante intenta persuadir a la víctima para utilizar un enlace en el cuerpo del correo.
El mensaje del correo informa que el banco se ha adherido al programa del gobierno denominado Línea Covid-19 y se aprobó un crédito. Para obtener más información puede acceder a un enlace.
Al seleccionar el enlace es dirigido a un sitio falso del Banco Security, donde se expone al robo de sus credenciales.
Observación
Solicitamos tener en consideración las señales de compromiso en su conjunto.
Indicadores de compromiso
Urls Redirecciones:
hxxps://bit[.]ly/31r5lYL?l=www[.]bancosecurity[.]cl
Urls sitio falso:
hxxps://innovativeiteration[.]com/www[.]bancosecurity[.]cl/pagina/index[.]asp
Sender
uk17books[@]host[.]freedominternational[.]net
gprint[@]host[.]freedominternational[.]net
Smtp Host
[67.205.103.117]
Asunto
Credito Aprobado.
Otros antecedentes
URL Body SHA-256
332dd04ae9deb819b7345e6f9d455c1b29b7f828cbb7d2a96afda1a9f3a6b48f
Certificado Digital
Fecha Valido : 18-06-2020
Fecha Termino : 16-09-2020
Emitido : Let's Encrypt Authority X3
Datos Alojamiento
IP : 111.118.215.77
Número de sistema autónomo (AS) : AS 394695
Etiqueta del sistema autónomo : PDR
País : India
Registrador : APNIC
Datos del Dominio
Nombre de dominio : innovativeiteration[.]com
Estado del dominio : clientDeleteProhibited
clientRenewProhibited
clientTransferProhibited
clientUpdateProhibited
Creado : 19 de enero del 2016
Expira : 19 de enero del 2021
Información del registrador : GoDaddy.com, LLC
ID IANA : 146
Correo electrónico : [email protected]
Servidores de nombres : NS1.MD-IN-22.WEBHOSTBOX.NET
NS2.MD-IN-22.WEBHOSTBOX.NET
Recomendaciones
- No abrir correos ni mensajes de dudosa procedencia.
- Desconfiar de los enlaces y archivos en los mensajes o correo.
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
- Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
- Prestar atención en los detalles de los mensajes o redes sociales
- Evaluar el bloqueo preventivo de los indicadores de compromisos.
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
- Revisar los controles de seguridad de los AntiSpam y SandBoxing.
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
- Visualizar los sitios web que se ingresen sean los oficiales.
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH20-00257-01