Campaña de phishing dirigido contra clientes de Movistar

Se ha detectado una nueva campaña de phishing dirigido contra clientes de Movistar. En este caso, los cibercriminales no sólo pretenden hacerse con las contraseñas de los usuarios sino también con los datos de la tarjeta bancaria de las víctimas.

La campaña indica al usuario que debe introducir sus datos para conseguir el reemboolso de un pago.

 

 

 

Esta campaña, que se está distribuyendo por correo electrónico presenta:

 

1. Un remitente de mail del tipo cliente@movistar-mX.com, donde X puede ser un número del 1 al 10
2. Un enlace a una web hospedada en el dominio movistar-mX.com, donde X puede ser un número del 1 al 10 o  movistarclientes[.]com que tiene el siguiente aspecto:

 

 

 

 

Una vez que el usuario introduce sus contraseñas, se le presenta una página para recibir un supuesto reembolso. Para ello, debe introducir los datos de su tarjeta:

 

 

 

 

Tras introducir los datos de la tarjeta de crédito, solicitan el PIN que se recibe en el teléfono móvil. Con este paso, los cibercriminales pretenden evadir los mecanismos de verificación adicional que incluyen muchos bancos.

 

 

Por último, se pide volver a introducir el código recibido por SMS.

 

 

 

Esta campaña destaca por su gran verosimilitud, lo que hace más fácil que los usuarios sean víctimas del engaño. El dominio empleado es ‘movistarclientes.com’, lo que también genera más confusión

 

 

Recuerda que

 

Movistar nunca te solicitará tus claves por correo electrónico.

No pinches nunca en enlaces sospechosos que recibas por correo electrónico

Desconfía especialmente de remitentes desconocidos.

 

En caso de haber sido víctima, cambia tus contraseñas y contacta con tu banco para informarles del posible incidente con tu tarjeta.

 

 

 

Te recomendamos que de modo genérico tenga en cuenta estas medidas de seguridad:

 

1. Desconfiar de cualquier correo electrónico donde se cometan varias faltas de ortografía o gramaticales, cuyo remitente sea sospechoso o que no tenga logos de empresas si éstas son de cierta entidad.
2. Evitar pulsar enlaces en correos electrónicos, aunque hayan sido recibidos de una dirección en la que confiemos. Antes, verificar con el remitente que él ha sido el que lo ha enviado.
3. Evitar, en la medida de lo posible, introducir usuario y contraseña en páginas cuya dirección no haya sido escrita por nosotros en la barra de direcciones del navegador.
4. Si nos piden usuario y contraseña en una página, comprobar que la dirección que aparece en la barra de direcciones es correcta y está bien escrita.
5. Comprobar que el envío de contraseña está cifrado (candado al lado de la dirección en la barra de direcciones, y https:// en lugar de http://)
6. Cambiar con frecuencia las contraseñas de acceso a los servicios que usamos. No usar la misma contraseña en varios servicios.
7. Usar, si es posible, la validación en dos pasos que ofrecen varios servicios (Office3656, Google, Hotmail...).
8. Utilizar contraseñas de buena calidad que tengan las siguientes características:
   1. Tener una longitud superior a 8 caracteres
   2. Estar formadas por una combinación intercalada de mayúsculas, minúsculas, números y caracteres especiales (como ~!@#$%^&*()_+=?><.,/)
   3. Evitar palabras que se encuentran en diccionarios, expresiones coloquiales y/o cadenas evidentes (123456, qwerty...)
   4. No utilizar fechas o palabras relacionadas con nosotros mismos (como el nombre de una mascota, apellidos o fechas de nacimiento)