Detectadas nuevas campañas de scam y smishing en España y otros países europeos

  • Actualidad
Infoblox - informe amenazas 4Q2022

Infoblox acaba de publicar su último informe de ciberinteligencia, correspondiente al último trimestre de 2022. En él alerta de nuevas campañas de scam y smishing en España y otros países de Europa, como Francia, Reino Unido, Portugal, Grecia o Italia.

  Recomendados....
 

» (RAEE) Tendencias y seguridad en la gestión de residuos electrónicos Webinar
» ¿Cómo potenciar las estrategias de seguridad y ciber resiliencia de tu compañía? Registro 

El especialista en gestión y seguridad de DNS destaca en su informe una serie de campañas. Por ejemplo, una de ssmishing en Francia que utiliza un falso portal de la Seguridad Social. Desde finales de agosto, Infoblox ha estado rastreando a un actor que envía una gran cantidad de mensajes SMS de phishing (smishing) dirigidos a números de teléfono franceses. El texto solicita que el destinatario complete un formulario para recibir una nueva tarjeta de la Seguriadad Social y para poder seguir recibiendo los servicios de salud asociados. Los actores de amenazas luego cobran cuentas bancarias de las víctimas y luego hacer declaraciones de impuestos fraudulentas.

Esta campaña se descubrió por primera vez en relación con Ameli, el portal de la Seguridad Social francesa y otros websites con puntos de inicio de sesión único (SSO) dependientes del Gobierno francés. El objetivo de los atacantes son ciudadanos franceses y personas francófonas que utilizan servicios públicos y bancarios. Sin embargo, algunos dominios relacionados también se dirigen a ciudadanos británicos, españoles y portugueses, operadores y empresas belgas de telecomunicaciones y proveedores holandeses de energía.

Los atacantes utilizan una extensa red de correos electrónicos desechables, números de teléfono y mensajes falsos, falsas identidades para cubrir sus huellas, así como múltiples hosts utilizados para evitar bloqueos. Después de varios días, los atacantes desconectaron las páginas de phishing para evitar detección mediante herramientas automatizadas y listas de seguridad del navegador. Infoblox pudo detectar y identificar aproximadamente 200 direcciones IP que atienden a más de 7000 dominios de phishing únicos. Aunque los atacantes han utilizado Amazon, Google y otros proveedores de servicios en la nube, también dependen en gran medida de servidores dedicados.

Scam en diferentes países
La firma también ha detectado una campaña de scam en países de la UE basados en perfiles falsos de celebrities. Se trata de una campaña de estafas (scam) cuyo vector de ataque es el uso de cuentas falsas de personajes famosos en redes sociales que “apoyan una causa” y solicitan a la victima que se una a ese apoyo. El objetivo de la campaña es acceder a datos de contacto e información sensible de las víctimas, así como intentar convencerles de transferir fondos a entidades fraudulentas. Este tipo de campañas se vio por primera vez en 2020 y utiliza como gancho la moneda virtual "Meta". Específicamente, las campañas usan anuncios patrocinados por Facebook en combinación con perfiles de LinkedIn falsos y múltiples dominios con el mismo contenido falso, traducido a diferentes idiomas.

El tema de la moneda "Meta" utilizado en estas campañas combina intencionalmente dos servicios: criptomoneda Meta de Facebook y Metacoin de Inblock. Mark Zuckerberg está cambiando el nombre de Facebook a Meta como parte de su estrategia para crear Metaverse: una plataforma de realidad virtual e IA. Las campañas de monedas falsas "Meta" han sido inicializadas por una cuenta de Facebook que se ha visto comprometida, llamada SoulCircuit. SoulCircuit es la cuenta de dos dos DJs británicos: Tom Moore y Dan Timcke. La página de perfil de Facebook comprometida tiene casi 600,000 seguidores y está siendo utilizada para distribuir anuncios patrocinados por estafas para la moneda criptográfica falsa "Meta". Otra característica interesante de las campañas es que los atacantes parecen estar dirigidos a personas de países específicos, a saber, Grecia, Italia y España, según los idiomas utilizados en las campañas y el uso de imágenes y nombres de políticos reales de esos países.

Las campañas constan de cinco etapas. El actor utiliza diferentes plataformas de redes sociales para atraer y luego redirigir a la víctima, llevándola eventualmente a un dominio de corta duración que parece ser total o parcialmente generado al azar. Una vez que un usuario muestra interés y proporciona algunos datos iniciales (nombre y número de teléfono móvil), son redirigidos nuevamente a sitios web comerciales falsos que presentan solicitudes de depósito a través de tarjeta de crédito o una transferencia desde otras cuentas de criptomonedas.

Cómo reconocer estas campañas
Estas campañas de scam y smishing presentan una serie de características comunes:

-- El nombre del dominio involucrado en la estafa es irrelevante y no suele guardar relación con el tema de la estafa.

-- El texto del anuncio inicial en Facebook se traduce automáticamente a diversos idiomas, como el español, el italiano, griego o alemán. Abundan además los errores tipográficos y faltas de ortografía y gramática en el mensaje traducido.

-- Los titulares de los perfiles de LinkedIn fraudulentos afirman ser asesores financieros.

-- Ninguno de los enlaces a dominios populares de YouTube conduce realmente a ningún dominio popular.

-- Las fotos de perfil que aparecen en los sitios web están editadas, no están relacionadas o han sido tomadas de otras páginas.

-- No hay número de teléfono ni dirección de la empresa.

Recomendaciones del especialista
Infoblox recomienda fortalecer los controles de seguridad sobre el correo electrónico, HTTP y DNS y actuar con cautela adoptando las siguentes buenas prácticas:

-- Desconfiar de correos electrónicos vagos o vacíos, especialmente aquellos con indicaciones para abrir archivos adjuntos o hacer clic en enlaces.

-- Comprobar siempre si la dirección de respuesta de un correo electrónico o la dirección del remitente está vinculada a la organización remitente. Si no, es probable que el correo electrónico sea fraudulento.

-- Tener cuidado con los enlaces que redirigen a sitios web de terceros desconocidos. Dichos enlaces a menudo son indicativos de actividad fraudulenta.

-- Interrumpir la resolución de URL que involucra dominios recién registrados mediante la aplicación de listas de bloqueo en el navegador o a nivel de DNS. Infoblox ofrece repositorios de inteligencia de seguridad que incluyen dominios fraudulentos observados recientemente.

-- Ser precavidos al completar formularios web con datos personales. Asegúrese de que el sitio web sea legítimo y que el servicio de pago que ofrece es también legítimo.