Nueva Campaña de Phishing contra Usuarios Movistar: 'AVISO REEMBOLSO'

Nueva Campaña de Phishing contra Usuarios Movistar: 'AVISO REEMBOLSO'

Se ha detectado una nueva oleada de la campaña que desde esta Comunidad reportamos el día 27 de mayo. Esta campaña está siendo distribuida por correo electrónico. La víctima recibe un correo electrónico con el asunto ‘AVISO Reembolso Pendiente’ que contiene una notificación sobre un supuesto reembolso de una cantidad erróneamente cobrada.

 

El aspecto del correo electrónico es como aparece en la siguiente imagen:

 

Phising Movistar .png

 

Para acceder a dicho reembolso, se indica a la víctima que debe acceder a una web, hospedada en movistar-m1[.]com, que tiene el siguiente aspecto.

 

Phising Movistar Mail.jpg

 

Una vez que el usuario introduce sus contraseñas, se le presenta una página para recibir un supuesto reembolso. Para ello, debe introducir los datos de su tarjeta:

 

Phising Movistar Pago.jpg

 

Tras introducir los datos de la tarjeta de crédito, nos solicitan el PIN que se recibe en el teléfono móvil. Con este paso, los cibercriminales pretenden evadir los mecanismos de verificación adicional que incluyen muchos bancos.

 

Phising Movistar Confirmación Pago.jpg

 Por último, se nos pide que volvamos a introducir el código recibido por SMS.

 

Phising Movistar SMS .jpg

 

Esta campaña destaca por su gran verosimilitud, lo que hace más fácil que los usuarios sean víctimas del engaño. El dominio empleado es ‘movistar-m1[.]com’, lo que también genera más confusión.

 

Recuerda que

 

Movistar nunca te solicitará tus claves por correo electrónico.

No pinches nunca en enlaces sospechosos que recibas por correo electrónico

Desconfía especialmente de remitentes desconocidos.

 

En caso de haber sido víctima, cambia tus contraseñas y contacta con tu banco para informarles del posible incidente con tu tarjeta.

 

Te recomendamos que de modo genérico tenga en cuenta estas medidas de seguridad:

 

  1. Desconfiar de cualquier correo electrónico donde se cometan varias faltas de ortografía o gramaticales, cuyo remitente sea sospechoso o que no tenga logos de empresas si éstas son de cierta entidad.
  2. Evitar pulsar enlaces en correos electrónicos, aunque hayan sido recibidos de una dirección en la que confiemos. Antes, verificar con el remitente que él ha sido el que lo ha enviado.
  3. Evitar, en la medida de lo posible, introducir usuario y contraseña en páginas cuya dirección no haya sido escrita por nosotros en la barra de direcciones del navegador.
  4. Si nos piden usuario y contraseña en una página, comprobar que la dirección que aparece en la barra de direcciones es correcta y está bien escrita.
  5. Comprobar que el envío de contraseña está cifrado (candado al lado de la dirección en la barra de direcciones, y https:// en lugar de http://)
  6. Cambiar con frecuencia las contraseñas de acceso a los servicios que usamos. No usar la misma contraseña en varios servicios.
  7. Usar, si es posible, la validación en dos pasos que ofrecen varios servicios (Office3656, Google, Hotmail...).
  8. Utilizar contraseñas de buena calidad que tengan las siguientes características:
    1. Tener una longitud superior a 8 caracteres
    2. Estar formadas por una combinación intercalada de mayúsculas, minúsculas, números y caracteres especiales (como ~!@#$%^&*()_+=?><.,/)
    3. Evitar palabras que se encuentran en diccionarios, expresiones coloquiales y/o cadenas evidentes (123456, qwerty...)
    4. No utilizar fechas o palabras relacionadas con nosotros mismos (como el nombre de una mascota, apellidos o fechas de nacimiento)
 

 

Mensaje 1 de 1
258 Visitas