Investigadores de seguridad cibernética han descubierto un esquema de fraude continuo a gran escala que atrae a usuarios de Internet rusos desprevenidos con promesas de recompensas financieras para robar la información de su tarjeta de pago.
Según los investigadores de Group-IB, el ataque de phishing de varias etapas explotó la credibilidad del portal de Internet ruso Rambler para engañar a los usuarios para que participaran en un concurso ficticio «Me gusta del año 2020».
El desarrollo es un recordatorio de que las campañas de ingeniería social basadas en recompensas continúan siendo un medio efectivo para estafar a los usuarios, sin mencionar el aprovechamiento de los datos recopilados para su beneficio financiero.
Bajo el esquema «Me gusta del año», se invitó a los usuarios a ganar un gran premio en efectivo, diciéndoles que habían sido seleccionados al azar después de que les gustara una publicación en plataformas de redes sociales como VKontakte.
Las invitaciones se enviaron a través de una ráfaga de correo electrónico pirateando los servidores de correo de un operador de datos fiscales, que se refiere a una entidad legal creada para agregar, almacenar y procesar datos fiscales para servir al Servicio de Impuestos Federales de Rusia.
Además de enviar correos electrónicos, los estafadores también enviaron mensajes de phishing mediante el envío de alertas de premios en efectivo como eventos de Google Calendar, una nueva tendencia en la ingeniería social.
«Con la configuración predeterminada del calendario, los datos de la invitación se agregan automáticamente junto con un recordatorio», destacaron los investigadores del Grupo-IB. «De esa manera, cualquier usuario de Google Calendar puede enviar invitaciones a eventos a otros usuarios de Gmail, incluso si no están en sus libretas de direcciones. Como resultado, la víctima recibirá una notificación de la creación de un nuevo evento por correo».
Al comunicarse con los usuarios de Runet en nombre del portal en línea de cualquiera de las dos formas, los destinatarios desprevenidos que hicieron clic en el enlace fueron redirigidos a un sitio web de cebo.
Este sitio web no solo felicita a la víctima por ganar el concurso falso y un premio en efectivo que oscila entre $ 100 y $ 2,000, sino que también les ofrece canjear el dinero en línea.
Sin embargo, cuando un usuario intenta continuar, el sitio alerta a los usuarios de que no pueden recibir dinero en dólares estadounidenses y les ofrece convertirlo en rublos a través de un servicio de cambio de moneda en línea, y para esto, deben pagar una pequeña tarifa, aproximadamente 270 rublos
Una vez que los usuarios aceptan pagar la comisión y caen en el anzuelo, el sitio los redirige a otro sitio de phishing controlado por un atacante que pretende ser una pasarela de pago, donde se les pide que ingresen detalles como el número de tarjeta, la fecha de vencimiento y el número CVV. , resultando en el robo de los datos de la tarjeta.
«Los estafadores realmente descartan la ‘comisión’, pero su objetivo principal son los datos de la tarjeta», concluyeron los investigadores.
Group-IB dijo que «Me gusta del año» es solo una de las seis campañas de fraude diferentes que operan bajo el mismo modus operandi, incluidos los pagos de un «Fondo de blogs de video» inexistente y centros de protección financiera.
Se descubrió que cada uno de estos esquemas opera de 100 a 350 dominios, y la campaña Me gusta solo representa más de 1,000 dominios, la mayoría de los cuales han sido bloqueados desde entonces.
Se dice que Rambler, por su parte, advirtió a los servicios públicos de correo electrónico del país sobre el ataque, pidiéndoles de manera proactiva que marquen esos correos electrónicos fraudulentos como spam.
Es un hecho conocido que los delincuentes encuentran continuamente nuevas formas de engañar a los usuarios para que revelen su información. En todo caso, el ataque enfatiza la necesidad de estar alerta cuando se trata de abrir correos electrónicos y archivos adjuntos de remitentes desconocidos.
Además, activar la autenticación en dos pasos, deshabilitar la opción de agregar eventos automáticamente de Gmail a Google Calendar y examinar las direcciones en los enlaces puede contribuir en gran medida a mejorar la higiene cibernética.
