Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

8FPH23-00755-01 CSIRT alerta campaña de phishing que suplanta al BancoEstado

8FPH23-00755-01-1.jpg

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing vía correo electrónico. En esta campaña, los delincuentes indican falsamente a la víctima lo siguiente:

“Te invitamos a revisar en tu Sitio Privado en www.bancoestado.cl del links si tienes garantia estatal FOGAPE. Mientras no se haya cursado la postergacion solicitada o un nuevo credito, debes mantener al dia el pago Otorgado sujeto a normativa FOGAPE”.

De abrir el enlace, la persona es
dirigida a un sitio falso semejante a Banco Estado, donde se expone al robo de
su usuario y contraseña (credenciales).

Advertencia sobre gestión de IoC

Los patrones expresados en forma de
hash de un archivo pueden ser administrados con herramientas centralizadas y
distribuidas, como firewall y antimalware. Las organizaciones deben tomar
resguardo de incorporar un hash que pudiere estar vinculado a un archivo o DLL
válida dentro de un sistema.

Al gestionar patrones potencialmente
maliciosos con nombres de host o IP, se debe considerar que la relación entre
nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica
puede estar siendo usada por un proveedor de web hosting que puede tener más de
un dominio asociado a dicha IP.

En consecuencia, se recomienda tener
un orden de prioridades a la hora de ejecutar un bloqueo, considerando al
menos:

  • El uso de un dispositivo WAF que pueda discriminar el
    nombre FQDN potencialmente malicioso por sobre la IP.
  • El uso de un firewall que permita integrar listas de
    bloqueo FQDN sin necesitar la conversión a IP.
  • El uso de sistemas proxy que permitan bloquear el FQDN
    sin necesitar la conversión a IP.
  • En última instancia, incorporar el bloqueo de la IP
    verificando que no corresponda a un esquema de web hosting, porque existe
    la posibilidad de bloquear los restantes dominios implementados que
    utilizan la misma dirección IP.

IoC Correo Electrónico

Antes de aplicar bloqueos, tenga
presente el punto sobre advertencia de gestión de IoC.

URL redirección:

https://ucmstudio[.]info/activacion/cuenta-innr/

 URL sitio falso:

https://smshomegogapestado[.]shop/1677092992/imagenes/_personas/home/default.asp

Datos del remitente:

Asunto Correo de Salida SMTP Host
✔  FW: Nueva Respuesta DeSolicitud Credito FOGAPE
Chile Apoya? 		[email protected]  

[84.46.250.80]

Otros antecedentes

Certificado Digital

Fecha Válido 22 Feb 2023
Fecha Término 23 May 2023
Emitido cPanel, Inc.

 Datos Alojamiento y Dominio

IP [202.89.39.2]
Número de sistema autónomo (AS) IP 9889
Emitido Etiqueta del sistema
autónomo IP 		Two Degress Mobile Limited
Registrador IP APNIC
País IP NZ
Dominio smshomegogapestado.shop
Registrador Dominio https://www.namecheap.com/

Recomendaciones

  • Los usuarios deberían procurar:
    • No abrir correos ni mensajes de dudosa procedencia.
    • Desconfiar de los enlaces y archivos en los mensajes o
      correo.
    • Solicitar que sus plataformas (Office, Windows,
      Acrobat, etc.) estén actualizadas.
    • Ser escépticos frente ofertas, promociones o premios
      que se ofrecen por internet.
    • Prestar atención en los detalles de los mensajes o
      redes sociales.
    • Solicitar que todas las plataformas de tecnologías y
      de detección de amenazas estén actualizadas.
    • Siempre intentar verificar que los sitios web que se
      visitan sean los oficiales.
    • Notificar oportunamente a sus encargados de
      ciberseguridad para que investiguen el incidente, comprueben si ha
      llegado a otros usuarios y apliquen las mitigaciones pertinentes. Algunas
      señales que debieran gatillar un informe inmediato:
      • Ha llegado un correo que a mi criterio es
        potencialmente un engaño (un correo de un banco del cual no soy cliente,
        un correo con un super premio, un correo con un bono del gobierno y
        claramente no es razonable, etc.).
      • Me contactan desde algún banco para confirmar alguna
        transferencia financiera que yo no he solicitado.
      • He ingresado mis credenciales en un sitio web que
        parecía real y me percaté después de su falsedad.
    • Los administradores deben:
      • Implementar controles anti spoofing (DKIM, SPF y
        DMARC).
      • Revisar la información que se expone de sus usuarios
        en sus sitios y sistemas web.
      • Filtrar o bloquear los correos entrantes que sean
        clasificados como phishing.
      • Evaluar el bloqueo preventivo de los indicadores de
        compromisos.
      • Revisar los controles de seguridad de los antispam y
        sandboxing.
      • Instruir a sus usuarios sobre el phishing y ayudarlos
        a reconocerlos. Realizar concientización permanente para los usuarios
        sobre este tipo de amenazas.
      • Crear mecanismos amistosos para el reporte y el
        feedback, en un entorno donde no se busque la culpabilidad, sino que la
        solución.
      • Implementar 2FA.
      • Proteger a sus usuarios de sitios maliciosos usando
        proxy servers y manteniendo actualizados sus browsers.
      • Proteger sus dispositivos del malware.
      • Tener un protocolo de respuesta rápido ante estos
        incidentes.
      • Detectar rápidamente estos incidentes instando a los
        usuarios a que reporten rápidamente cualquier actividad sospechosa.
    • Para obtener los IOC de este informe visite el
      siguiente enlace:

Informe

El informe oficial publicado por el
CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH23-00755-01