El banco Itaú sufrió -en los últimos días- de una campaña maliciosa que utilizaba su nombre e imagen a través de falsos sitios Web. ¿El objetivo? Estafar a clientes de esta entidad bancaria a través de recopilación de datos. Y según lo reportado por la empresa de seguridad, ESET, una de las páginas detectadas iba dirigida específicamente a personas de Argentina y otra para Brasil (en portugués).
En el caso de la campaña que apunta a clientes en Argentina, los estafadores utilizaron una URL que incluye el nombre del banco y que tiene una apariencia similar la Web oficial. De hecho, el nombre del sitio es casi idéntico al nombre de usuario que utiliza el banco para sus cuentas de Twitter e Instagram, con una diferencia de apenas una letra.
Esto es importante, ya que una búsqueda en Google puede llevar a una víctima a encontrarse con este tipo de sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda. Y algunas veces bajo la forma de anuncios, cuestión que añade otra capa de peligro.
El diseño del sitio falso era una copia idéntica a la página oficial, incluyendo los campos para que las víctimas ingresen sus credenciales de inicio de sesión y de esta manera robarlas. Mostrando un contador de tiempo simulando que verifica los supuestos datos entregados. ¿Para qué? Tener tiempo de iniciar sesión con las credenciales robadas en la Web legítima del banco y pedir SMS de verificación al teléfono de la víctima en este proceso inventado.
Una vez completado el engaño, el falso sitio lanza un mensaje de error y redirige al usuario al oficial. Este paso adicional es para hacer creer a la víctima que simplemente hubo un error, y no que cayó en una estafa.
Estafa de banco Itaú en Brasil
Por su parte, la campaña maliciosa ejecutada en Brasil fue distinta. El sitio falso llegaba por correo electrónico haciendo una supuesta consulta por facturas. Con esto se le pide a la víctima su número de identificación fiscal (CPF) y el número de la tarjeta con la que opera en la entidad.
Incluso llega a solicitar información aún más sensible, como el código de seguridad de la tarjeta y la fecha en la que expira. Luego de ingresar esta información, la víctima es redirigida nuevamente al sitio real para solicitar la factura digital y generar distracción.
Ambos sitios fueron reportados y dados de baja. Aunque, sabemos históricamente que la mayoría de las campañas maliciosas son cíclicas y seguramente regresará en unas semanas -o meses- más adelante. Además, podría volver suplantando la identidad de otra entidad bancaria y ejecutarla en otros países.
