LAN Airlines scam - Social Engineering Attacks still happening and will keep happening ...

Published: 2012-03-18
Last Updated: 2012-03-18 21:15:13 UTC
by Manuel Humberto Santander Pelaez (Version: 1)
2 comment(s)

This diary is being posted in both english and spanish, because it is a local attack that happened to Colombia users. I am unsure if this attack has been seen in other countries as well.


Last friday, many users at my company received the following message:

LAN e-mail asking for credit card

This e-mail is rejecting a change of flight request because the existing Mastercard credit card cannot be used because of lack of contract between Mastercard and LAN Airlines and states that for approval the airline needs a VISA Credit Card Number, CVC, Expiring date, name of card owner, ID and phone number.

My team began to receive many reports about this e-mail. There was a Reply-to directive to a gmail e-mail that would receive all the information sent by the users. First thing we did was to get a full report on what uses received this e-mail. Second, we sent a warning telling those users to avoid sending any confidential information though e-mail. Third and last, we proceeded to call every user to enforce the warning.

15 minutes passed between receiving the SCAM e-mails and sending the warning e-mail to my users. 183 users were targeted and 8 sent their information because they purchased tickets to LAN and thought that the mail was legitimate. We gave them a final recommendation to report their credit card as lost so they can get a new one with a new number.

We keep doing Security awareness campaigns on a regular basis and they start the moment the employee starts working in the company. I just hope there will be one day where users won't be that naive to risk their private information or the company information assets.



El viernes pasado, muchos usuarios corporativos en mi empresa recibieron el siguiente correo electrónico:

Correo de LAN pidiendo información de tarjeta de crédito 

Mi equipo empezó a recibir muchos reportes sobre este correo. Al revisarlo en detalle, nos dimos cuenta que el correo incluía una directiva Reply-to, la cual direccionaba hacia un correo de gmail todas las respuestas de los usuarios a dicho mensaje. Lo primero que hicimos fue sacar una lista de todos los destinatarios del mensaje de correo en la figura. Lo segundo fue enviar un correo electrónico de advertencia a dichos usuarios advirtiendoles del peligro y de abstenerse de enviar cualquier información confidencial vía correo electrónico. Por último, se realizaron llamadas a cada uno como medida adicional para reforzar la advertencia realizada.

Pasaron sólo 15 minutos entre la recepción del correo malicioso y el envío de la advertencia. De un universo de 183 usuarios a quienes se les envió el correo electrónico malicioso, 8 enviaron la información solicitada porque habían comprado recientemente tiquetes con LAN y creyeron que el correo que les enviaron era legítimo.

Continuamente realizamos campañas de sensibilización de seguridad a todos los usuarios y estas inician desde la misma inducción del usuario al entrar a laborar en la compañía. Solo espero que llegue un día en que los usuarios no sean tan ingenuos con correos como estos en donde puedan poner en riesgo su información personal o los activos de información de la compañía.


Manuel Humberto Santander Peláez
SANS Internet Storm Center - Handler
e-mail:msantand at isc dot sans dot org

2 comment(s)


Your next step should be to report the "bad" mailbox to Google:

so that the scammer cannot receive any messages from the victims of the fraud.
And, of course, reporting it to your equivalent of if someone has actually lost money.

Diary Archives