Los cibercriminales atacan a los compradores del Black Friday con un ataque de phishing
Parece que Scrooge está trabajando duro antes de que inicie oficialmente esta temporada navideña. Una semana antes de que comience oficialmente el Black Friday, comprar en estas ofertas se ha vuelto peligroso. Los cibercriminales han lanzado una campaña de phishing con sitios web falsos, diseñados para robar la información de los compradores del Black Friday.
Campaña de Phishing del Black Friday
Desde principios de octubre, los analistas de EclecticIQ comenzaron a notar una campaña de phishing. Parece estar dirigida a los compradores del Black Friday en los Estados Unidos y Europa. Los mismos analistas creen que los cibercriminales chinos, apodados SilkSpecter, están detrás de esto, buscando beneficiarse.
SilkSpecter está utilizando productos falsos y descontados en esta estafa de phishing para atraer a los compradores del Black Friday y convencerlos de proporcionar sus datos de tarjeta (CHD), Datos de Autenticación Sensibles (SAD) e Información Personalmente Identificable (PII).
Cuando los compradores ingresan su información, los atacantes roban el CHD a través del proceso de pago de Stripe. El CHD se envía a un servidor controlado por SilkSpecter. Se utiliza Google Translate para hacer el lenguaje en los sitios más creíble, ajustándolo para las ubicaciones IP de las víctimas.
Resulta que esta no es la primera incursión de SilkSpecter en el espacio de sitios de comercio electrónico falsos. Han establecido campañas de phishing similares. Todas ellas están vinculadas a un SaaS chino que los analistas creen que les permite crear rápidamente estos sitios. La mayoría de los sitios utilizan dominios con .top, .hip, .store y .vip.
Bueno saber: también debes estar atento a un texto que diga “Tu paquete no se puede entregar”.
Descubrimiento del Patrón de Phishing del Black Friday
Los analistas notaron un patrón a través de los dominios de phishing falsos del Black Friday, y se decidió que casi todos pueden estar vinculados a SilkSpecter. El cibercrimen en sí es una amenaza mayor de lo que podrías imaginar.
Cada página incluía el ícono “trusttollsvg” que hacía que pareciera ser un sitio de confianza normal. Además, estas páginas tenían todas un endpoint “homeapi/collect”. Esto notificaría a los ciberatacantes cuando un URL fuera clicado o abierto por una víctima, quien fue atraída allí con una prometedora oferta del Black Friday.
Varios rastreadores de sitios web se activaban una vez que alguien aterrizaba en una página de phishing buscando una oferta del Black Friday. Los rastreadores vigilaban la efectividad de la campaña de phishing a medida que recopilaba datos de PII, CHD y SAD de compradores desprevenidos usando Stripe. Entre la información recopilada se encontraban direcciones IP, geolocalización, tipo de navegador y SO.
Además, a las víctimas de este ataque de phishing se les pedía que proporcionaran sus números de teléfono. Se asume que esta información también sería explotada. Los números de teléfono podrían ser utilizados para phishing por voz o phishing por SMS, presionando a las víctimas a revelar otros detalles, como códigos de 2FA, detalles de identificación y posiblemente credenciales de cuentas.
Se cree que SilkSpecter compartió las URLs de phishing a través de cuentas de redes sociales y envenenamiento de SEO, incitando a las víctimas con descuentos del Black Friday.
Por suerte, no tienes que convertirte en víctima del ataque de phishing del Black Friday. No accedas a sitios web desconocidos, sin importar lo prometedor que suenen las ofertas. Quédate con Amazon y otros sitios bien conocidos. Y, como siempre, puedes estar atento a Make Tech Easier, ya que publicaremos algunas de las mejores ofertas tecnológicas del Black Friday.
Créditos de imagen: Todas las imágenes son de Canva y Image Playground.
