8FPH20-00264-01 CSIRT informa phishing de cuenta suspendida de un sitio de pago en línea
CSIRT advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene de PayPal.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene de PayPal.
El atacante intenta persuadir a las personas para utilizar un enlace adjunto en el cuerpo del correo.
El mensaje del correo informa al receptor, que su cuenta fue temporalmente suspendida y para poder utilizarla debe ser activada nuevamente.
Al seleccionar el enlace para suuestamente reactivar la cuenta, la potencial víctima es dirigida a un sitio falso de PayPal, donde se expone al robo de sus credenciales.
Observación
Solicitamos tener en consideración las señales de compromiso en su conjunto.
Indicadores de compromiso
Urls sitio falso:
hxxps://dearcustmireservice[.]berdary[.]com/file/files
Sender
www-data[@]amzon[.]com
Smtp Host
[173.232.146.83]
Asunto
Confirm Your PayPal Account (Case ID #AL 032G 652 002)
Otros antecedentes
URL Body SHA-256
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
Certificado Digital
Fecha Valido : 05-04-2020
Fecha Termino : 06-07-2020
Emitido : Let's Encrypt Authority X3
Datos Alojamiento
IP : 88.99.75.142
Número de sistema autónomo (AS) : AS 24940
Etiqueta del sistema autónomo : Hetzner Online GmbH
País : Alemania
Registrador : RIPE NCC
Datos del Dominio
Nombre de dominio : berdary[.]com
Estado del dominio : clientTransferProhibited
Creado : 18-04-2016
Expira : 18-04-2021
Información del registrador : OpenTLD B.V.
ID IANA : 1666
Servidores de nombres : NS3.AVISHOST.COM
NS4.AVISHOST.COM
Recomendaciones
- No abrir correos ni mensajes de dudosa procedencia.
- Desconfiar de los enlaces y archivos en los mensajes o correo.
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
- Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
- Prestar atención en los detalles de los mensajes o redes sociales
- Evaluar el bloqueo preventivo de los indicadores de compromisos.
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
- Revisar los controles de seguridad de los AntiSpam y SandBoxing.
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
- Visualizar los sitios web que se ingresen sean los oficiales.
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH20-00264-01