AtaquesCarruselNacionales

Estafa cibernética a usuarios de Claro utilizando 175.000 datos que podrían ser de clientes de la compañía

A esta hora se despliega una operación de estafa a clientes de Claro que difícilmente será detectada por sus víctimas.

Un desarrollador que fue afectado por el intento de estafa compartió con Muchohacker.lol su propia investigación y hallazgos. Lo hace bajo la condición de anonimato.

El intento de estafa comenzó ayer a las 9:35 de la mañana. Utilizan un servicio de envío masivo de mensajes de texto (Smishing) con los cuales los ciberdelincuentes se pusieron en contacto con sus víctimas, enviándoles un mensaje referente al pago de su celular.

Mensaje de texto que llega al celular de sus víctimas. El número telefónico de referencia es real.

El mensaje está escrito haciendo referencia al número real de la víctima. En este caso un teléfono terminado en 2. Seguido a ello aparece el costo de la factura y finaliza con un gancho de una supuesta oferta donde se hará un descuento de 30 por ciento por el pago de tres meses.  

El SMS incluye un link enmascarado con la herramienta Bytly.cx que lleva a una página falsa de Claro. Muy similar a la real y que podría inducir al error incluso a quién pueda detectar estos intentos de robo.  El link desde donde se ejecuta es [https://descuentosclarousuarios.com]. La url es difícil detección porque usa la palabra Claro dentro del dominio.

Lo inusual en este portal es que tiene un proceso de desarrollo web que tendría información real de las víctimas. El portal falso es capaz de diferenciar entre un cliente, dentro de una base de datos que están usando, y otro que no esté allí. 

Al ingresar el número terminado en 2, cuyo celular es de Claro, el portal inmediatamente lanza el botón de la pasarela de pagos. Desde allí la víctima, sin darse cuenta, entregará los datos de su tarjeta usando PSE, Nequi, Bancolombia o Tarjeta debido o crédito.

Estarían usando una filtración de datos de Claro

Parte de la investigación consistió en comprender cómo unos ciberdelincuentes tienen acceso a números telefónicos reales y el monto del pago de la factura. La evidencia muestra que están usando una base de datos con 175.000 registros.

El o los ciberatacantes subieron a Internet de la forma más insegura posible la base de datos que está alojada en el mismo dominio en la sección /Numeros.csv. “Escudriñé un poco y están usando varios hosting para tener los archivos”, dijo el experto a MuchoHacker.lol.

Esta es la base de datos con la información de 175.000 números telefónicos de posibles clientes de Claro. Este archivo está en línea sin medidas de seguridad. No se conoce desde cuando está allí. Cualquier persona puede acceder a esta información y reutilizar estos datos.

Los datos alojados en el archivo plano en formato CSV son llamados por la página del pago. Si el número telefónico real está en la lista de los 175.000 registros el portal procederá a mostrar la sección de pago. Si no aparece, mostrará un aviso de que no es posible hacer el pago con descuento. 

Aunque técnicamente el llamado a una base de datos no es un hecho técnicamente avanzado la estructuración de la estafa sí lo es.  Usar el número real y el valor a pagar real añade credibilidad al portal y no muchas personas tendrán la pericia técnica y el tiempo para identificar la estafa de que están siendo víctimas.

Es un imposible técnico, al menos para MuchoHacker.lol, saber de dónde sale la base de datos con la que engañan a la gente. Sin embargo, el 14 de Febrero publicamos de un supuesto ataque a América Móvil donde, según los atacantes, se habrían robado parte de información de la compañía sombrilla de Claro, Colombia. 

No podemos afirmar que esta base de datos con 175.000 registros es producto de ese supuesto ataque pero hace parte del contexto.

El hecho se compartió con Claro antes de hacer la publicación. Se pidió una opinión al respecto. Para el equipo técnico de la telefónica esta filtración de datos no tiene nada que ver con los hechos de América Móvil. Aseguraron que inició una investigación para determinar el origen de los datos que usa la estafa y que los resultados se compartirán con MuchoHacker.lol.

Actualización, 12 julio 3:52

Claro se comunicó y afirmó: “Una vez atendido el caso por las áreas de seguridad de Claro, se identificó que no se trató de un incidente, fuga o robo de información de nuestros sistemas o de nuestros clientes”.

Esta afirmación no se ha podido verificar con un tercero.


Recomendaciones de seguridad

1. Verificar los mensajes: Desconfiar de los mensajes de texto que solicitan información personal o pagos. Contactar directamente al proveedor de servicios para confirmar la veracidad del mensaje.

2. No hacer clic en enlaces sospechosos: Evitar hacer clic en enlaces de mensajes de texto o correos electrónicos no solicitados. Acceder a las páginas oficiales de los proveedores de servicios directamente a través del navegador.

3. Comprobar la URL: Asegurarse de que la URL sea auténtica. Las URLs fraudulentas a menudo tienen pequeños cambios que pueden ser difíciles de notar, como letras adicionales o errores ortográficos.

4. Educar y alertar al entorno: Informar a amigos y familiares sobre este tipo de estafas para que también estén alertas y puedan evitar caer en ellas.

5. Revisar los estados de cuenta: Regularmente revisar los estados de cuenta bancarios para detectar cualquier actividad sospechosa. Si se encuentra algo inusual, reportarlo inmediatamente al banco.

6. Reportar los intentos de estafa: Si se recibe un mensaje sospechoso, reportarlo al proveedor de servicios y a las autoridades pertinentes. Esto puede ayudar a prevenir que otros caigan en la estafa.

7. Desconfiar de ofertas demasiado buenas para ser verdad: Las estafas a menudo incluyen ofertas atractivas que parecen demasiado buenas para ser ciertas. Siempre cuestionar y verificar la legitimidad de estas ofertas.

4 comentarios en «Estafa cibernética a usuarios de Claro utilizando 175.000 datos que podrían ser de clientes de la compañía»

  • Gran problema para Claro y los demás, volveremos al sistema antiguo; caminar e ir al banco personalmente.

    Respuesta
  • Hubo una que utilizó encomiendas de Fedex como gancho y dejó expuesta la base de datos de la mayoría de colombianos porque incluía fallecidos. Con el numero de cédula se exponía dirección y numero de celular.

    Respuesta
  • Me acabo de pasar, entre al link y me decía que la clave dinámica había expirado y la ingrese 3 veces me desocuparon la cuenta

    Respuesta

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *