Intento de robo de información a usuarios de Liverpool por medio de Phishing

El día de hoy recibimos la notificación de un correo electrónico supuestamente enviado por el departamento de ventas de Liverpool que exhorta a sus usuarios a realizar la “actualización” obligatoria de sus datos. En el cuerpo del correo aparecen varios enlaces que redireccionan hacia una página en donde se muestra el mismo correo:

Unos instantes después, se efectúa otra redirección hacia el sitio:

http://www.XXXXXXXXX.com/fla/www.liverpool.com.mx/shopping/store/

En esta página se solicita al usuario que introduzca su correo electrónico y una contraseña de una cuenta que tenga en el sitio de Liverpool. Como parte de la investigación, escribimos datos falsos para ver el comportamiento del sitio phishing. Esta información la pudimos localizar al analizar el tráfico generado y se muestra en el recuadro azul de la siguiente imagen:

En un primer intento, no pudimos acceder al sitio y el “sistema” mostró un mensaje diciendo que nuestros datos eran incorrectos, pero al realizarlo por segunda ocasión, pudimos continuar con el “proceso de actualización”. En la siguiente imagen, se muestra que el sitio solicita el número de cuenta y el NIP del usuario.

Nuevamente ingresamos información falsa y también la pudimos observar al analizar el tráfico generado. En el recuadro azul de la siguiente imagen se muestra el “número de cuenta” falso y el NIP o contraseña.

Una vez que este paso se ha completado, el sitio nos muestra un formulario en donde se pide al usuario información más detallada:

En esta ocasión, también completamos el formulario con información falsa y pudimos observarla durante el análisis de tráfico. En los recuadros de la siguiente imagen, se muestran los datos capturados:

Por último, cuando el “proceso de actualización” ha terminado, se efectúa la redirección hacia el sitio oficial de Liverpool:

Este tipo de engaños son muy frecuentes y las formas de protegerse de ellos, aunque son muy sencillas, no son tomadas en cuenta la mayoría de las veces por los usuarios, pudiendo tener graves consecuencias.

El principal aspecto que se debe considerar para evitar ser víctima de estos fraudes, es tener en cuenta la URL del sitio que se está visitando. Si ésta resulta sospechosa por algún motivo, lo recomendable es cerrar inmediatamente la página. Por otro lado, si no se detecta algo anómalo en la URL, también se debe sospechar del sitio y más aún, del correo que se recicbió, porque estas empresas nunca solicitan una actualización de información a sus usuarios, por medio de correo electrónico. Lo recomendable es ponerse en contacto directamente con el centro de atención a clientes correspondiente, para preguntar acerca del origen y razón de ser de la notificación.