Nuevas campañas de scam y smishing orientadas a España y otros países europeos

Campaña de smishing en Francia que utiliza un falso portal de la Seguridad Social. El objetivo de los atacantes son ciudadanos franceses que utilizan servicios públicos y bancarios, pero algunos dominios relacionados también se dirigen a ciudadanos británicos, españoles y portugueses, operadores telco belgas y proveedores holandeses de energía.

Campaña de scam que utiliza como gancho la moneda virtual «Meta» y dirigida a países de la UE con perfiles falsos de personajes famosos, específicamente a Grecia, Italia y España, por los idiomas utilizados en las campañas y el uso de imágenes y nombres de políticos reales de esos países.

Infoblox Inc., líder en servicios de red seguros y gestionados desde la nube, ha publicado una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recoge trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores, a nivel mundial. Entre las principales conclusiones de este informe, que cubre los meses de octubre a noviembre de 2022, se encuentran:

  • Campaña de smishing en Francia que utiliza un falso portal de la Seguridad Social. Desde finales de agosto, Infoblox ha estado rastreando a un actor que envía una gran cantidad de

Mensajes SMS de phishing (smishing) dirigidos a números de teléfono franceses. El texto solicita que el destinatario complete un formulario para recibir una nueva tarjeta de la Seguriadad Social y para poder seguir recibiendo los servicios de salud asociados. Los actores de amenazas luego cobran cuentas bancarias de las víctimas y luego hacer declaraciones de impuestos fraudulentas.

Esta campaña se descubrió por primera vez en relación con Ameli: el portal de la Seguridad Social francesa y otros websites con puntos de inicio de sesión único (SSO) dependientes del Gobierno francés. El objetivo de los atacantes son ciudadanos franceses y personas francófonas que utilizan servicios públicos y bancarios. Sin embargo, algunos dominios relacionados también se dirigen a ciudadanos británicos, españoles y portugueses, operadores y empresas belgas de telecomunicaciones y proveedores holandeses de energía.

Los atacantes utilizan una extensa red de correos electrónicos desechables, números de teléfono y mensajes falsos, falsas identidades para cubrir sus huellas, así como múltiples hosts utilizados para evitar bloqueos. Después de varios días, los atacantes desconectaron las páginas de phishing para evitar detección mediante herramientas automatizadas y listas de seguridad del navegador. Infoblox pudo detectar y identificar aproximadamente 200 direcciones IP que atienden a más de 7000 dominios de phishing únicos. Aunque los atacantes han utilizado Amazon, Google y otros proveedores de servicios en la nube, también dependen en gran medida de servidores dedicados.

  • Campaña de scam en países de la UE basados en perfiles falsos de celebrities. Se trata de una campaña de estafas (scam) cuyo vector de ataque es el uso de cuentas falsas de personajes famosos en redes sociales que “apoyan una causa” y solicitan a la victima que se una a ese apoyo. El objetivo de la campaña es acceder a datos de contacto e información sensible de las víctimas, así como intentar convencerles de transferir fondos a entidades fraudulentas. Este tipo de campañas se vio por primera vez en 2020 y utiliza como gancho la moneda virtual «Meta». Específicamente, las campañas usan anuncios patrocinados por Facebook en combinación con perfiles de LinkedIn falsos y múltiples dominios con el mismo contenido falso, traducido a diferentes idiomas.

El tema de la moneda «Meta» utilizado en estas campañas combina intencionalmente dos servicios: criptomoneda Meta de Facebook y Metacoin de Inblock. Mark Zuckerberg está cambiando el nombre de Facebook a Meta como parte de su estrategia para crear Metaverse: una plataforma de realidad virtual e IA. Las campañas de monedas falsas «Meta» han sido inicializadas por una cuenta de Facebook que se ha visto comprometida, llamada SoulCircuit. SoulCircuit es la cuenta de dos dos DJs británicos: Tom Moore y Dan Timcke. La página de perfil de Facebook comprometida tiene casi 600,000 seguidores y está siendo utilizada para distribuir anuncios patrocinados por estafas para la moneda criptográfica falsa «Meta». Otra característica interesante de las campañas es que los atacantes parecen estar dirigidos a personas de países específicos, a saber, Grecia, Italia y España, según los idiomas utilizados en las campañas y el uso de imágenes y nombres de políticos reales de esos países.

Las campañas constan de cinco etapas. El actor utiliza diferentes plataformas de redes sociales para atraer y luego redirigir a la víctima, llevándola eventualmente a un dominio de corta duración que parece ser total o parcialmente generado al azar. Una vez que un usuario muestra interés y proporciona algunos datos iniciales (nombre y número de teléfono móvil), son redirigidos nuevamente a sitios web comerciales falsos que presentan solicitudes de depósito a través de tarjeta de crédito o una transferencia desde otras cuentas de criptomonedas.

Estas campañas de scam y smishing presentan una serie de características comunes:

  • El nombre del dominio involucrado en la estafa es irrelevante y no suele guardar relación con el tema de la estafa.
  • El texto del anuncio inicial en Facebook se traduce automáticamente a diversos idiomas, como el español, el italiano, griego o alemán. Abundan además los errores tipográficos y faltas de ortografía y gramática en el mensaje traducido.
  • Los titulares de los perfiles de LinkedIn fraudulentos afirman ser asesores financieros.
  • Ninguno de los enlaces a dominios populares de YouTube conduce realmente a ningún dominio popular.
  • Las fotos de perfil que aparecen en los sitios web están editadas, no están relacionadas o han sido tomadas de otras páginas.
  • No hay número de teléfono ni dirección de la empresa.

Recomendaciones genéricas de Infoblox para prevenir y mitigar riesgos

Todas las campañas identificadas utilizan el correo electrónico como vector de ataque. Muchos de los correos electrónicos distribuyen direcciones URL maliciosas que realizan múltiples redireccionamientos de las víctimas a otras páginas de destino fraudulentas. Infoblox recomienda fortalecer los controles de seguridad sobre el correo electrónico, HTTP y DNS y utilizar una serie de medidas como:

  • Desconfiar de correos electrónicos vagos o vacíos, especialmente aquellos con indicaciones para abrir archivos adjuntos o hacer clic en enlaces.
  • Comprobar siempre si la dirección de respuesta de un correo electrónico o la dirección del remitente está vinculada a la organización remitente. Si no, es probable que el correo electrónico sea fraudulento.
  • Tener cuidado con los enlaces que redirigen a sitios web de terceros desconocidos. Dichos enlaces a menudo son indicativos de actividad fraudulenta.
  • Interrumpir la resolución de URL que involucra dominios recién registrados mediante la aplicación de listas de bloqueo en el navegador o a nivel de DNS. Infoblox ofrece repositorios de inteligencia de seguridad que incluyen dominios fraudulentos observados recientemente.
  • Precaución al completar formularios web con datos personales. Asegúrese de que el sitio web sea legítimo y que el servicio de pago que ofrece es también legítimo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio