Nuevo malware que se recibe en un mail con falso remitente BBVA

Un nuevo mail que se está recibiendo masivamente, incorpora un link aparentando ser para “validación”, que conduce a una web de Hungría:

General IP Information
IP: 87.229.73.173
Decimal: 1474644397
Hostname: www.marketingaweben.hu
ISP: Deninet KFT
Organization: Deninet Kft.
Services: None detected
Type:
Assignment: Static IP
Blacklist:

Geolocation Information
Country: Hungary
Latitude: 47 (47° 0′ 0.00″ N)
Longitude: 20 (20° 0′ 0.00″ E)
El mail malicioso es similar a este:

MAIL MALICIOSO:
________________

Asunto: Noticia URGENTE de BBVA – Clave Operaciones
Fecha: Tue, 8 Jan 2013 05:10:24 +0100 (CET)
De: BBVA@servidor.bbva_PARTICULARES.net
Para: <destinatario>

Estimado cliente,

Nos dirigimos a usted para informarle que su clave de operaciones BBVA Net no ha sido cambiada y ha vencido el día 08/01/2013. Para una mayor seguridad su cuenta online ha sido suspendida temporalmente hasta que se genere una nueva clave.

Con el fin de solucionar esta irregularidad le rogamos que acceda al enlace que a continuación le facilitamos para comprobar su identidad y reactivar su cuenta.

BBVA – Validación:
https:// bbva.es/ formulario_validacion/ <—– OJO ! link malicioso conduce a web de Hungría

Banco BBVA le agradece de nuevo su confianza.
Atentamente,

BBVA
Dpto. Incidencias
Tel. 902 18 18 18
Correo: incidencias@bbva.es. Banco Bilbao Vizcaya Argentaria S.A. – 2013

* Una vez completado el formulario de comprobación de datos, recibirá por escrito en un plazo máximo de 15 días hábiles un correo ordinario con su nueva clave de operaciones BBVA net junto con el contrato de Servicio BBVA net. Para cualquier información no dude en contactar con nosotros a través de nuestro correo electrónico: incidencias@bbva.es.

* No facilite datos personales o financieros.
No facilite datos personales o financieros. No es recomendable que se faciliten datos personales o financieros si no está en un entorno seguro y con proveedores de confianza.
* No debe aceptar documentos ni archivos provenientes de desconocidos.
Pueden ser una vía de acceso a peligrosos VIRUS muy perjudiciales para su sistema operativo. Por ello, si el emisor es alguien poco fiable o de dudosa credibilidad no debe acceder al documento ni pinchar sobre ningún enlace que pueda contener el correo. Además, es importante instalar un sistema antivirus, utilizarlo y actualizarlo periódicamente.

FIN DEL MAIL MALICIOSO
_______________________
Fijarse que para ganar la confianza del usuario, al final ponen un parrafo con consejos sobre posibles malwares que puedan recibirse por correo… o sea que el propio lobo avisa de los peligros de los lobos … !

mas info sobre dicho acceso: http://www.projecthoneypot.org/ip_87.229.73.173
Si se accede a dicha pagina, se intenta descargar un active X que visualiza un phishing de la pagina del banco indicado. Si el internet explorer está configurado con nivel de seguridad alto, no permitirá que de descargue dicho Active X. Si está a nivel medio, ofrecerá la posibilidad. avisando al respecto, ANTE LO CUAL DEBE NEGARSE DICHA INSTALACION. Y si el nivel de seguridad es bajo, se instalará sin pedir permiso.
En cualquier caso, evitando pulsar en dicho link se evita el riesgo de infectarse.

Avisamos de ello para que, conociendo dicho phishing, no caigan en la tentación de pulsar en el link, recordandoles, como dice el mail de autos (!) , que no se deben descargar ficheros anexados a mails no solicitados, ni pulsar en sus links ni en sus imagenes.

Y si hubieran pulsado en dicho link, al menos no entrar los datos que piden (usuario, contraeña, etc) pues irían a parar a manos de ciberdelincuentes, que posiblemente usarían los datos entrados para vaciar las cuentas bancarias…

Y si lo han hecho, avisen al banco sobre los datos que han revelado, para que puedan evitar las posibles transferencias que el hacker quisiera hacer con ellos.

imagen phishing BBVA
Confiando que esta información les habrá sido de utilidad, reciban saludos

ms, 8-1-2013