Una nueva campaña de phishing usa la imagen de Citibank

Casi ningún banco se libra de las emulaciones de su imagen corporativa para hacer campañas de phishing. Ahora le ha tocado el turno a Citibank.

sara-olivo-escudo-digital

Redactora Jefe de Escudo Digital

Guardar

Página web real de citibank en India
Página web real de citibank en India

Bitdefender acaba de publicar una nueva investigación sobre una campaña de phishing que utiliza la imagen de Citibank. Fundamentalmente busca robar datos personales y credenciales online de los usuarios. Los correos electrónicos fraudulentos se centran en un supuesto plan de Naciones Unidas con el que se pueden conseguir entre cinco y diez millones de dólares.

La campaña que ha descubierto esta compañía de ciberseguridad comenzó en febrero y consta de dos vertientes diferentes. La primera de ellas, que aún está activa, afecta principalmente a ciudadanos de Estados Unidos. En este caso, los correos electrónicos fraudulentos provienen de direcciones IP de Estados Unidos y de México. La segunda versión de esta campaña tiene su origen en direcciones IP de India, Noruega y Países Bajos. Los e-mails fraudulentos se mandan a usuarios de Estados Unidos, Dinamarca, Suecia, Reino Unido, Irlanda y Sudáfrica.

Bitdefender aconseja a todos los usuarios a permanecer muy atentos a este intento de estafa, ya que la campaña está aún activa y presenta una distribución geográfica muy amplia, por lo que no descarta que se extienda a países en los que Citibank cuenta con presencia directa, como es el caso de España.

Según expone en su blog Bitdefender, que cita datos obtenidos de su telemetría interna, los ladrones cibernéticos se dirigen a los clientes bancarios con miles de mensajes de correo electrónico falsos  Como ya hemos dicho, las campañas en curso se centran en los EE. UU., donde el 81 % de la correspondencia fraudulenta termina en las bandejas de entrada estadounidenses. Sin embargo, el 7% de los correos electrónicos también han llegado al Reino Unido, el 4% a Corea del Sur y un número limitado a Canadá, Irlanda, India y Alemania.

El 40% de los correos electrónicos falsos parecen haber sido enviados desde EE.UU. y el 13 % desde direcciones IP en México.

Aunque algunos de los correos electrónicos de phishing usan el logotipo de Citibank para parecerse a la correspondencia oficial de la institución financiera, los estafadores no se muestran especialmente meticulosos a la hora de  suplantar la dirección de correo electrónico del remitente y corregir los errores de puntuación en el cuerpo del correo electrónico.

Las líneas de asunto del correo electrónico son las siguientes:

  • Se requiere confirmación de cuenta
  • Segundo recordatorio: su cuenta está en espera
  • Alerta de seguridad: su cuenta está en espera
  • Urgente: Se requiere confirmación de cuenta
  • Urgente: su cuenta de Citi está en espera

En una versión de los ataques de phishing, los estafadores informan a los destinatarios que sus cuentas se han suspendido temporalmente debido a un "registro incompleto de los datos de la cuenta". Incluso citan transacciones o pagos falsos, o inicios de sesión sospechosos para asustar a los destinatarios y que verifiquen su cuenta.

campaña de phishing de Citibank

 

El botón de verificación de cuenta lleva a los destinatarios a una versión del sitio web casi perfectamente clonada del portal en línea de Citibank, donde los clientes pueden iniciar sesión con su ID de usuario y contraseña. Lo podemos ver en la imagen situada bajo estas líneas.

página clonada de citybank
 

No está mal de todo si lo comparamos con este otro ejemplo de phishing de Citibank , mucho menos logrado que adjuntamos bajo estas líneas:

CItiBank 3

La segunda campaña de phishing detectada relacionada con Citibank: "Felicidades 'has ganado' 10 millones de dólares"


La Policía de todos los países no se cansa de advertir que no nos dejemos engañar por los regalos inesperados. Los estafadores que se hacen pasar por instituciones financieras harán todo lo posible para robar información de inicio de sesión o datos financieros de las víctimas. En el caso que nos ocupa se presentan en forma de correos electrónicos de phishing más burdos que notifican a los destinatarios que se han convertido en millonarios.

Los investigadores de Bitdefender detectaron los correos electrónicos fraudulentos entre el 11 y el 15 de febrero.  El 30 % de los correos electrónicos de phishing parecen tener su origen en direcciones IP de la India, el 28 % de Noruega y el 16 % de los Países Bajos. En cuanto a la distribución, el 36 % de los correos electrónicos llegaron a usuarios en los EE. UU., el 34 % en Dinamarca, el 7 % en Suecia, el 7 % en el Reino Unido, el 4 % en Irlanda y el 3 % en Sudáfrica.

Los estafadores implementan dos variantes del esquema, que se parece mucho a una estafa por correo electrónico de lotería. En lugar de usar los nombres de loterías legítimas o citar sorteos en línea falsos en los que nunca se inscribió, los correos electrónicos de phishing notifican a los usuarios que han sido elegidos para recibir una compensación financiera de las Naciones Unidas.

He aquí un ejemplo: "Usted es uno de los 150 individuos "afortunados" elegidos para recibir $5 millones a través de Citibank. ¿Por qué? Porque "está incluido y aprobado para este pago como una de las víctimas estafadas a las que se les pagará esta cantidad", se lee en el correo electrónico fraudulento. Por supuesto, los estafadores quieren que respondas para poder continuar con la farsa y solicitar tus datos personales y dicen que te van a hacer la transferencia a tu cuenta.

segunda campaña 1
 


Bajo estas lineas podemos ver una versión más chapucera de la estafa:

segunda campaña 2
 

 

Desde Bitdefender aconsejan a sus usuarios que permanezcan atentos y rechacen cualquier demanda mencionada en la correspondencia no solicitada, y siempre verifiquen las señales de advertencia, incluida la dirección de correo electrónico del remitente y las URL incrustadas.

Los usuarios también deben tener en cuenta que los asuntos urgentes relacionados con transacciones sospechosas a menudo requieren una llamada telefónica de la institución financiera, que nunca le pedirá su PIN o códigos de seguridad adicionales.