Durante el pasado mes, se detectó una fuerte campaña de phishing, que empleaba la siguiente táctica: los usuarios recibían un correo electrónico que les indicaba que su cuenta había “violado las políticas”. En el caso descubierto, el link destacado llevaba a un dominio malicioso que no pertenecía al proveedor de la tarjeta – aunque contenía información auténtica del site del proveedor.

Se repiten una serie de patrones en estos links maliciosos. En este caso, al hacer click sobre el link se redirecciona a la víctima a un site de un centro de datos alojado en Bangkok. Desde ese site se redirige al usuario a un servidor en China que ha copiado el contenido legítimo del site de la tarjeta de crédito utilizando un proxy. Esta configuración permitió a los atacantes interceptar fácilmente las credenciales de los usuarios.

Una vez que obtuvieron las credenciales, los criminales pudieron sustraer fácilmente los fondos a través de servicios de transferencias anónimas y money mules. Mucho cuidado con ello, que es muy fácil el movimiento de capitales vía hackeo…

Fuente