8FPH20-00283-01 CSIRT informa sobre phishing sobre abono de AFP

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene del Banco Estado.

El atacante intenta persuadir a quien recibe el correo, de utilizar un enlace adjunto.

El mensaje es una campaña que anuncia que no existe necesidad de asistir al banco para recibir el abono del 10% de AFP.

Al seleccionar el enlace adjunto para obtener mayor información, la persona es dirigida a un sitio falso, donde se expone al robo de sus credenciales.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

Urls Redirecciones:

hxxp://www.vitrinesdusablon[.]com/2.php

Urls sitio falso:

hxxps://bancoestado-credito-cl[.]ga/imagenes/comun2008/banca-en-linea-personas.html

hxxps://bancoestado-afp-10-cupo-cl[.]ga/imagenes/comun2008/banca-en-linea-personas.html

Sender

www-data@gmail.com

Smtp Host

[103.248.146.11]

Asunto

Hola, Aqui estan las fotos que pediste.

Otros antecedentes

URL Body SHA-256

dd6a55eeceaf20ef631862bec76f8ca6f3ce42a81a6517ab7072c9c1d5ac9f53

Certificado Digital

Fecha Valido                                                 :             01/08/2020

Fecha Termino                                             :             30/10/2020

Emitido                                                         :             Let’s Encrypt Authority X3

Datos Alojamiento

IP                                                                    :             178.159.36.76

Número de sistema autónomo (AS)         :             AS 48666

Etiqueta del sistema autónomo                :             MAROSNET Telecommunication Company LLC

País                                                                :             Rusia

Registrador                                                  :             RIPE NCC

Datos del Dominio

Nombre de dominio                                   :             bancoestado-credito-cl[.]ga

Estado del dominio                                     :             clientTransferProhibited

Creado                                                          :             2020-08-01

Expira                                                            :             2021-08-01

Información del registrador                      :             Name.com, Inc.

ID IANA                                                          :             625

Correo electrónico                                     :             abuse@name.com

Servidores de nombres                              :             ns1hwy.name.com

ns2cvx.name.com

ns3jwx.name.com

ns4lny.name.com

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
  • Prestar atención en los detalles de los mensajes o redes sociales
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH20-00283-01

8FPH20-00283-01 CSIRT informa sobre phishing sobre abono de AFP