Este es uno de los phishing más elaborados que he visto, verán, la historia comienza más o menos así.
El correo
Ayer recibí un correo de HSBC (también existe uno muy similar de BBVA) en el que me avisan de un depósito a mi favor, cosa rara porque ni cuenta en HSBC tengo así que era más que obvio que el correo no era legítimo.
El texto del mensaje dice más o menos así:
El motivo de este correo es informarle que el día de hoy recibió una transferencia SPEI la cual se encuentra retenida debido a anomalías en su cuenta. Para mas detalles sobre esta situación le adjuntamos un documento en formato Microsoft Word donde explicamos el motivo de la retención y los pasos a seguir.
La trampa
Descargué el archivo y por precaución le dí una buena escaneada contra virus pero salió limpio. Al abrir el documento con LibreOffice claro que me apareció una advertencia de que el archivo contenía macros, cosa que no me sorprende y que por obvias razones no le di permiso de ejecutarlos.
El contenido del documento muestra un supuesto mensaje de error que dice que el mensaje no puede ser mostrado hasta que se habiliten las macros y el resto son básicamente instrucciones para habilitarlas en varias versiones de Word y ¿Excel?.
Para mi mala fortuna soy muy curioso, así que le dí un vistazo al contenido de las macros.
¡Claaaaro!, lo que hace el código es descargar varios archivos ejecutables por demás sospechosos de Internet. Como precaución decidí bloquear el dominio para evitar que por error alguien descargue esos archivos.
El monto de la transferencia retenida es bastante jugoso, así que no duden que algún curioso avaricioso (mala combinación) caiga en la trampa.
Tengan cuidado con su correo y recuerden, si su instinto les dice que es una trampa, muy probablemente lo es.
La variante del SAT
Tengan cuidado porque también esta circulando una variante de este mismo correo con una advertencia del Servicio de Administración Tributaria (SAT).
El mensaje es el siguiente:
Tercer Aviso:
Estimado Contribuyente:
El Servicio de Administración Tributaria se ha percatado que en diversos despachos alrededor del País, Usted ha propuesto esquemas para evadir el pago de impuestos y hemos detectado anomalías en su situación fiscal. Para evitar una sanción en su contra, Le recomendamos regularizar esta situación de inmediato. En este correo le adjuntamos un documento detallado de su situacion fiscal actual.
Como pueden ver, el documento es prácticamente el mismo que el utilizado en HSBC o Bancomer, únicamente cambiaron unos textos y los logos para hacerlo creíble.
Nuevamente tiene un archivo adjunto que al abrirlo lo primero que pide es Activar las macros algo que, repito , NO DEBEN DE HACER. Lo mejor es no abrir el adjunto y borrar el correo.
Excelente articulo y de gran utilidad, de nuestra parte la difusión total para lograr evitar mas caidas en esto, y cabe mencionar que esta propagandose de una forma descomunal, por todos lados.
Descargué y abri el documento, active los macros en una Mac, no se descargó ningún archivo más, ¿podría estar en riesgo?
Hola Hiram,
Te diría que no, pero con eso de que ya existen algunos virusillos para Mac, pueeeeees, no estoy muy seguro al respecto. ¿Cómo estás tan seguro de que no descargó un archivo?
Sólo se descargó el archivo en word, no hay más registros de descarga, corrí el Malware y no detectó nada irregular, ¿quiere decir que está limpio?
Pues tienes buenas probabilidades de que así sea 🙂
Perfecto, muchas gracias por la atención. Saludos.
tambien de telmex, dhl, y fedex es lo mismo solo cambian los logos
Si, ya están variando el discurso .. a ver quien cae.
Me llegó el mismo aviso de Santander, pero yo no tengo Santander por eso es ilógico
Pero eso hacen intentos con otros bancos y con el SAT, a lo mejor chicle y pega.
Muchas GRACIAS =)
Que pases un buen fin de semana
¿Y hotmail no te advirtió que el correo contenía un adjunto con virus? No no no .. muy mal hotmail.
Mejor abre una cuenta en Gmail , ahí al menos te avisan.
Saludos !!!
Entonces no tienes de que preocuparte…
Para que el documento descargue el virus tienes que estar en windows, tener word y abrir el documento con las macros activadas.
Y tu no hiciste nada de eso. ¡Bien por ti! 🙂
Y tambien recivi el correo por Hotmail
y lo tenia en correos indeseables y en la bandeja de entrada !
Hola gracias por contestas Linuxman
El correo lo abri por mi Celular y tambien abri el archivo en mi celular es un galaxy s4
En ningun momento lo abri por la computadora
igual en mi computadora tiene un buen antivirus
habra un peligro por a ver abierto en mi celular este e-mail y el archivo ????
Hola … yo recibi ese mismo e-mail pero dice banco santander lo abri en mi celular pero al ver q no se mostraba muy bien el contenido ya que en el celular no tengo Word lo cerre y luego me llegaron mensaje de este mismo … pero ya los borre… Mi pregunta es puede existir o hay un peligro ??
Hola Ninibeth,
Este mismo correo lo han estado «actualizando» con otras instituciones bancarias como Santander pero básicamente es el mismo.
El peligro es que tu computadora se infecte con algún virus informático y eso no es en ningún escenario algo deseable.
Que bueno que los borraste, pero tengo una duda.. ¿Tienes un antivirus instalado? porque hasta el antivirus de Gmail lo detecta como malicioso.
Tengo cuidado 🙂
Disculpa si abres el mail en una Mac y le das click al archivo pero no habilitaste los macros, estas en riesgo?
Lo más probable es que no. Este documento requiere la participación del usuario para que pueda iniciar la descarga de sus archivos. Por eso se esfuerza tanto en dar instrucciones sobre como activar las macros.
Pero ten cuidado, creo que debes de mandar revisar tu «sentido arácnido» y estar más atento a este tipo de amenazas.
Saludos Alberto.
Asi lo hare muchas gracias…saludos.
Saludos a todos, un comentario… si no esperas un pago así de fuerte o no haces trampa al SAT, pues simplemente es un fraude; como comenta Linuxman, se requiere de cooperación del usuario, es como si de alguna forma un ratero de casas te dice que te vá a llevar un mega regalo sorpresa a tu casa y te pide que le dejes abierta la puerta y que no estés tu ahí (pues es sorpresa)… crees que tenga buenas intenciones el ratero o enserio te deje ahí el mega regalo? Simplemente es cosa de ponerse abusados, en ocasiones sólo basta con leer la dirección en la barra de arriba, para conocer a donde nos redirecciona internet cuando damos click a uno de estos fraudes. Saludos!!
hola le preste mi lap a un amigo, me comento que le llegó el correo, no se si lo abrio, en el caso de que sí, que es lo mas mal que puede pasar? no tengo claro eso . gracias
Hola Juan José,
Bueno, pues todo depende, ¿Tienes un buen antivirus actualizado?, ¿Abrió el documento y siguió sus instrucciones?. No esta de más que revises tu antivirus, lo actualices y le des una buena escaneada a tu equipo.
Saludos !!!
Hola que tal, yo abri en linea el archivo, se puede infectar mi computadora? gracias!
Hola poemasro,
¿Activaste las macros? esa es la clave, claro que si tienes un antivirus lo mejor es actualizarlo y darle una buena escaneada a tu equipo.
Hola Linuxman , muy buen post para estar informado de esas trampas, a mi también seguido me llegan correos de Banorte y ni cuenta tengo ahí ! , pero siempre hay que desconfiar, es la mejor arma para los fraudes.
Saludos
¿Qué problema podría tener con un correo como ese su uso Linux? Gracias, excelente post (y blog).
Lo ignoro, pero no creo que esos archivos que descargas de internet tengan buenas intenciones…
No compañero, ya no tengo el correo porque lo borré y no se me ocurrió descargar los ejecutables, pero si gustas puedes descargarlos tu mismo, en la imagen esta el código de descarga. Si te fijas, el texto de la dirección esta al revés. 🙂
Saludos !!!
Podrias pasarme los .exe ? o bien algun enlace del sitio para revisalos me interesarian hacerles una ingenieria inversa
Que tal….hace unos minutos recibí ese mismo correo, para nada abrí el adjunto, y agradezco enormemente que exista este aviso, pero tengo una duda…
Ese correo simplemente lo elimino? O aún debo avisar al banco de lo que sucedió?
Digo, por sí acaso….
Gracias de antemano, saludos!
Hola Chelita,
No creo que sea necesario avisar al banco, como vez, hay muchas variantes de este correo y el mensaje del banco es solamente el «anzuelo» para que descargues y abras el archivo.
Lo que si te recomiendo es revisar tus líneas de defensa, por ejemplo ¿Tienes instalado un antivirus? ¿Esta funcionando y actualizado? y además yo recomendaría instalar un programa antimalware como el MalwareBytes y/o el Spybot. O usar Linux y olvidarte de estas cosas.
Saludos.
Si, por supuesto que traían el adjunto y de igual manera lo abrí con LibreOffice (sobre linux por supuesto para mayor seguridad) y en efecto el código es similar al que muestras, descargas de archivos ejecutables
lo que si es que yo active los macros… que es lo que pasa si los deje así? pues quiero volver a bloquearlos pero no puedo? que hago???
Hola Lizet,
Primero desactiva la ejecución de las macros, varia dependiendo de la versión de office que tengas (te paso un ejemplo en la imagen) y claro darle una buena escaneada a tu computadora (Como limpiar mi computadora de virus, malware y otros bichos )
Saludos !!!
Bueno, en mi correo de trabajo he recibido de varios bancos (santander, bancomer, banamex…) y recientemente… del SAT, en donde me decía que habían detectado que YO estaba promocionando maneras para evadir impuestos…. jajaja, ya quisiera poner en práctica algo de eso 😀
Hola Profetta,
¿Y todos esos correos iban acompañados de un adjunto sospechoso?
Saludos !!!.
Ella llamo al banco para preguntar y le dijeron que se pusiera en contacto con el area de sistemas de su empresa y pidiera que le formatearan el equipo, gracias por la respuesta…
En el caso de que un usuario los haya descargado y activado en su pc, a parte de correrle un buen antivirus, como podemos desactivar el virus o que antivirus recomiendan para solucionar el problema, porque me acaba de llamar una usuaria que llamo al banco y le dijeron que tenia que formatear la pc, solo que esta tiene informacion de trabajo importante
Hola Mateo,
¿Llamó el Banco?, ¿Pues que clase de bichos tiene la computadora de tu usuaria que hasta el banco te avisa?… Precisamente porque tiene información importante debería de considerar formatearla, claro, previo respaldo escaneado y desinfectado.
Como mencionas, aparte de una buena escaneada con un antivirus (avast o avira) también es bueno darle una repasada con el Spybot y con el Malwarebytes.
Aunque lo mejor es que usara Linux 🙂
Saludos !!!.
El refinamiento tecnológico al que se ha llegado para fraudes y quién sabe qué tanta cosa mas…
Y eso de «refinamiento» es un decir Ricardo este malware requiere de mucha cooperación por parte del usuario.
No nada mas eso, ya le llego a un usuario en el trabajo, y obvio el antivirus detectó 2 archivos y los borro, pero no era de HSBC, si no de Santander, mandando un estado de cuenta.
En mi caso me llego también un estado de cuenta a mi Gmail, pero yo si tengo HSBC y lo abrí desde Google Docs y me mostraba lo mismo, como ya lo había visto acá lo borre.
A ver Luis, eso quiere decir que tu usuario abrió el archivo con las macros activadas y comenzó a descargar los ejecutables !!!! ¡Ufff que peligroso!.