8FPH21-00351-01 CSIRT advierte phishing de SúperClave bloqueada

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo, a través de correo electrónico que supuestamente proviene del Banco Santander.

El atacante busca persuadir a las personas para utilizar un enlace adjunto.

El mensaje del correo indica que la SúperClave se encuentra bloqueada.

Al seleccionar el enlace para ingresar a activar la SúperClave, es dirigido a un sitio falso, donde se expone al robo de sus credenciales.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

Urls sitio falso:

https[:]//www.saantandercl-personas[.]com/1610028620/index.asp

Asunto

Su Súper Clave se encuentra Bloqueada.

Sender

[errorco@ww2.96hosting.com]

Smtp Host:

[108.166.219.79]

Otros antecedentes

URL Body SHA-256

828e4ddb7642d7ac40d5ff6de8bb2f3bf969c1639594d5efa5466e2ea75435af

Certificado Digital

Fecha Válido                                                 :             07-01-2021

Fecha Término                                             :             07-04-2021

Emitido                                                         :             R3

Datos Alojamiento

IP                                                                    :             139.59.23.73

Número de sistema autónomo (AS)         :             14061

Etiqueta del sistema autónomo                :             DigitalOcean, LLC

País                                                                :             IN

Registrador                                                  :             AS

Datos del Dominio

Nombre de dominio                                   :             saantandercl-personas[.]com

Creado                                                          :             07-01-2020

Expira                                                            :             07-01-2022

Información del registrador                      :             Name.com, Inc.

Correo electrónico                                     :             abuse@name.com

Servidores de nombres                              :             ns1.dnsowl.com

ns2.dnsowl.com

ns3.dnsowl.com

Recomendaciones

• No abrir correos ni mensajes de dudosa procedencia.
• Desconfiar de los enlaces y archivos en los mensajes o correo.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
• Prestar atención en los detalles de los mensajes o redes sociales.
• Evaluar el bloqueo preventivo de los indicadores de compromisos.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
• Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH21-00351-01