HSBC y su correo de notificación de transferencia de fondos a su favor

Este es uno de los phishing más elaborados que he visto, verán, la historia comienza más o menos así.

El correo

Ayer recibí un correo de HSBC (también existe uno muy similar de BBVA) en el que me avisan de un depósito a mi favor, cosa rara porque ni cuenta en HSBC tengo así que era más que obvio que el correo no era legítimo.

El texto del mensaje dice más o menos así:

El motivo de este correo es informarle que el día de hoy recibió una transferencia SPEI la cual se encuentra retenida debido a anomalías en su cuenta. Para mas detalles sobre esta situación le adjuntamos un documento en formato Microsoft Word donde explicamos el motivo de la retención y los pasos a seguir.

La trampa

Descargué el archivo y por precaución le dí una buena escaneada contra virus pero salió limpio. Al abrir el documento con LibreOffice claro que me apareció una advertencia de que el archivo contenía macros, cosa que no me sorprende y que por obvias razones no le di permiso de ejecutarlos.

instrucciones para activar las macros
Esto es lo que me aparece al abrir el documento de Word.

El contenido del documento muestra un supuesto mensaje de error que dice que el mensaje no puede ser mostrado hasta que se habiliten las macros y el resto son básicamente instrucciones para habilitarlas en varias versiones de Word y ¿Excel?.

Para mi mala fortuna soy muy curioso, así que le dí un vistazo al contenido de las macros.

descargar archivos sospechosos
Lo que hace la macro es descargar archivos ejecutables.

¡Claaaaro!, lo que hace el código es descargar varios archivos ejecutables por demás sospechosos de Internet. Como precaución decidí bloquear el dominio para evitar que por error alguien descargue esos archivos.

El monto de la transferencia retenida es bastante jugoso, así que no duden que algún curioso avaricioso (mala combinación) caiga en la trampa.

Tengan cuidado con su correo y recuerden, si su instinto les dice que es una trampa, muy probablemente lo es.

La variante del SAT

Tengan cuidado porque también esta circulando una variante de este mismo correo con una advertencia del Servicio de Administración Tributaria (SAT).

El mensaje es el siguiente:

Tercer Aviso:

Estimado Contribuyente:

El Servicio de Administración Tributaria se ha percatado que en diversos despachos alrededor del País, Usted ha propuesto esquemas para evadir el pago de impuestos y hemos detectado anomalías en su situación fiscal. Para evitar una sanción en su contra, Le recomendamos regularizar esta situación de inmediato. En este correo le adjuntamos un documento detallado de su situacion fiscal actual.

Como pueden ver, el documento es prácticamente el mismo que el utilizado en HSBC o Bancomer, únicamente cambiaron unos textos y los logos para hacerlo creíble.

Phishing usando un aviso del SAT

Nuevamente tiene un archivo adjunto que al abrirlo lo primero que pide es Activar las macros algo que, repito , NO DEBEN DE HACER. Lo mejor es no abrir el adjunto y borrar el correo.

44 comentarios en «HSBC y su correo de notificación de transferencia de fondos a su favor»

  1. Excelente articulo y de gran utilidad, de nuestra parte la difusión total para lograr evitar mas caidas en esto, y cabe mencionar que esta propagandose de una forma descomunal, por todos lados.

    Responder
  2. ¿Y hotmail no te advirtió que el correo contenía un adjunto con virus? No no no .. muy mal hotmail.

    Mejor abre una cuenta en Gmail , ahí al menos te avisan.

    Advertencia de Gmail sobre un posible virus en el correo.

    Saludos !!!

    Responder
  3. Entonces no tienes de que preocuparte…

    Para que el documento descargue el virus tienes que estar en windows, tener word y abrir el documento con las macros activadas.

    Y tu no hiciste nada de eso. ¡Bien por ti! 🙂

    Responder
  4. Hola gracias por contestas Linuxman
    El correo lo abri por mi Celular y tambien abri el archivo en mi celular es un galaxy s4

    En ningun momento lo abri por la computadora
    igual en mi computadora tiene un buen antivirus

    habra un peligro por a ver abierto en mi celular este e-mail y el archivo ????

    Responder
  5. Hola … yo recibi ese mismo e-mail pero dice banco santander lo abri en mi celular pero al ver q no se mostraba muy bien el contenido ya que en el celular no tengo Word lo cerre y luego me llegaron mensaje de este mismo … pero ya los borre… Mi pregunta es puede existir o hay un peligro ??

    Responder
    • Hola Ninibeth,

      Este mismo correo lo han estado «actualizando» con otras instituciones bancarias como Santander pero básicamente es el mismo.

      El peligro es que tu computadora se infecte con algún virus informático y eso no es en ningún escenario algo deseable.

      Que bueno que los borraste, pero tengo una duda.. ¿Tienes un antivirus instalado? porque hasta el antivirus de Gmail lo detecta como malicioso.

      Tengo cuidado 🙂

      Responder
    • Lo más probable es que no. Este documento requiere la participación del usuario para que pueda iniciar la descarga de sus archivos. Por eso se esfuerza tanto en dar instrucciones sobre como activar las macros.

      Pero ten cuidado, creo que debes de mandar revisar tu «sentido arácnido» y estar más atento a este tipo de amenazas.

      Saludos Alberto.

      Responder
  6. Saludos a todos, un comentario… si no esperas un pago así de fuerte o no haces trampa al SAT, pues simplemente es un fraude; como comenta Linuxman, se requiere de cooperación del usuario, es como si de alguna forma un ratero de casas te dice que te vá a llevar un mega regalo sorpresa a tu casa y te pide que le dejes abierta la puerta y que no estés tu ahí (pues es sorpresa)… crees que tenga buenas intenciones el ratero o enserio te deje ahí el mega regalo? Simplemente es cosa de ponerse abusados, en ocasiones sólo basta con leer la dirección en la barra de arriba, para conocer a donde nos redirecciona internet cuando damos click a uno de estos fraudes. Saludos!!

    Responder
  7. hola le preste mi lap a un amigo, me comento que le llegó el correo, no se si lo abrio, en el caso de que sí, que es lo mas mal que puede pasar? no tengo claro eso . gracias

    Responder
    • Hola Juan José,

      Bueno, pues todo depende, ¿Tienes un buen antivirus actualizado?, ¿Abrió el documento y siguió sus instrucciones?. No esta de más que revises tu antivirus, lo actualices y le des una buena escaneada a tu equipo.

      Saludos !!!

      Responder
    • Hola poemasro,

      ¿Activaste las macros? esa es la clave, claro que si tienes un antivirus lo mejor es actualizarlo y darle una buena escaneada a tu equipo.

      Responder
  8. Hola Linuxman , muy buen post para estar informado de esas trampas, a mi también seguido me llegan correos de Banorte y ni cuenta tengo ahí ! , pero siempre hay que desconfiar, es la mejor arma para los fraudes.

    Saludos

    Responder
  9. No compañero, ya no tengo el correo porque lo borré y no se me ocurrió descargar los ejecutables, pero si gustas puedes descargarlos tu mismo, en la imagen esta el código de descarga. Si te fijas, el texto de la dirección esta al revés. 🙂

    Saludos !!!

    Responder
  10. Que tal….hace unos minutos recibí ese mismo correo, para nada abrí el adjunto, y agradezco enormemente que exista este aviso, pero tengo una duda…
    Ese correo simplemente lo elimino? O aún debo avisar al banco de lo que sucedió?
    Digo, por sí acaso….
    Gracias de antemano, saludos!

    Responder
    • Hola Chelita,

      No creo que sea necesario avisar al banco, como vez, hay muchas variantes de este correo y el mensaje del banco es solamente el «anzuelo» para que descargues y abras el archivo.

      Lo que si te recomiendo es revisar tus líneas de defensa, por ejemplo ¿Tienes instalado un antivirus? ¿Esta funcionando y actualizado? y además yo recomendaría instalar un programa antimalware como el MalwareBytes y/o el Spybot. O usar Linux y olvidarte de estas cosas.

      Saludos.

      Responder
  11. Si, por supuesto que traían el adjunto y de igual manera lo abrí con LibreOffice (sobre linux por supuesto para mayor seguridad) y en efecto el código es similar al que muestras, descargas de archivos ejecutables

    Responder
  12. Bueno, en mi correo de trabajo he recibido de varios bancos (santander, bancomer, banamex…) y recientemente… del SAT, en donde me decía que habían detectado que YO estaba promocionando maneras para evadir impuestos…. jajaja, ya quisiera poner en práctica algo de eso 😀

    Responder
  13. Ella llamo al banco para preguntar y le dijeron que se pusiera en contacto con el area de sistemas de su empresa y pidiera que le formatearan el equipo, gracias por la respuesta…

    Responder
  14. En el caso de que un usuario los haya descargado y activado en su pc, a parte de correrle un buen antivirus, como podemos desactivar el virus o que antivirus recomiendan para solucionar el problema, porque me acaba de llamar una usuaria que llamo al banco y le dijeron que tenia que formatear la pc, solo que esta tiene informacion de trabajo importante

    Responder
    • Hola Mateo,

      ¿Llamó el Banco?, ¿Pues que clase de bichos tiene la computadora de tu usuaria que hasta el banco te avisa?… Precisamente porque tiene información importante debería de considerar formatearla, claro, previo respaldo escaneado y desinfectado.

      Como mencionas, aparte de una buena escaneada con un antivirus (avast o avira) también es bueno darle una repasada con el Spybot y con el Malwarebytes.

      Aunque lo mejor es que usara Linux 🙂

      Saludos !!!.

      Responder
  15. No nada mas eso, ya le llego a un usuario en el trabajo, y obvio el antivirus detectó 2 archivos y los borro, pero no era de HSBC, si no de Santander, mandando un estado de cuenta.
    En mi caso me llego también un estado de cuenta a mi Gmail, pero yo si tengo HSBC y lo abrí desde Google Docs y me mostraba lo mismo, como ya lo había visto acá lo borre.

    Responder
    • A ver Luis, eso quiere decir que tu usuario abrió el archivo con las macros activadas y comenzó a descargar los ejecutables !!!! ¡Ufff que peligroso!.

      Responder

¡Me encantaría saber que opinas!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.