Spam y phishing

Una ratonera con dos pasajes aéreos

Durante el semana pasado, en las redes sociales hubo una ola de mensajes que afirmaban que grandes compañías aéreas estaban regalando pasajes aéreos. Usuarios de todo el mundo resultaron involucrados al publicar por sí mismos mensajes que mencionaban a las compañías aéreas Emirates, AirFrance, Aeroflot, S7 Airline, Eva Air, Turkish Airlance, Air Azia, Air India y otras. No excluimos que pronto se produzcan publicaciones similares con otros nombres de compañías.

Por supuesto, no se trataba de promociones con pasajes de regalo. Los estafadores se ponían en contacto con las víctimas en nombre de las principales líneas aéreas, pero su verdadero objetivo era hacer que se suscribiesen a servicios móviles de pago, recopilar datos personales, instalar malware, y aumentar el tráfico de sitios publicitarios y de sitios de dudoso contenido. Para ello, los delincuentes registraron muchos dominios, en los que pusieron contenidos en nombre de compañías famosas. En estos dominios, felicitaban a los usuarios por haber ganado dos pasajes aéreos y les pedían que ejecutasen una serie de acciones para obtener el premio. Como resultado, la víctima llegaba a otro sitio de los delincuentes, cuyo objetivo es monetizar su “trabajo”, y distribuir información sobre promociones falsas en las redes sociales.

Una ratonera con dos pasajes aéreos

Ejemplo de un mensaje en una red social con un vínculo a un sitio fraudulento

Este no es el primer caso en que los propios usuarios distribuyen contenidos fraudulentos en las redes sociales. Ya antes habíamos escrito sobre una petición falsa para proteger a Suárez, distribuida por los usuarios de Facebook. También publicamos información sobre falsas recolecciones benéficas e incluso sobre un “virus pornográfico”. Todos estos casos tenían algo en común: la amenaza se propaga a través de las redes sociales, a menudo con la participación de los propios usuarios.

Esquema del ataque

Pero volvamos al nuevo caso y analicémoslo con más detalle. Al hacer clic en el enlace del muro en la red social, el usuario va a dar a un sitio fraudulento. Hemos encontrado una serie de dominios pertenecientes a los delincuentes: deltagiveaway.com, vvxwx9.us, aeroflot-com.us, aeroflot-ticket.us, qq3mz9.us, emiratesnow.us, emiratesgo.us, com-beforeitsends.us, emirates.iwelltrip.us, y muchos otros.

Una ratonera con dos pasajes aéreos

Una ratonera con dos pasajes aéreos

Ejemplos de sitios fraudulentos que usan nombres de aerolíneas conocidas

Debido a que en el esquema sólo cambia el logotipo, el idioma y el diseño de color de la compañía, analizaremos solo uno de los muchos sitios. El sitio, supuestamente propiedad de American Airlines, notifica al usuario que ha ganado dos pasajes gratuitos y que para recibirlos debe responder a tres preguntas.

Una ratonera con dos pasajes aéreos

Ejemplo de un sitio fraudulento que usa los símbolos de American Airlines

Una vez que la víctima ha respondido a las preguntas, se le pide que haga dos cosas más. La primera es publicar información sobre la promoción en su página de la red social, con un comentario de gratitud a la aerolínea. La segunda, hacer clic en “Me gusta”. Vale la pena señalar que en la página se muestran “comentarios” de la red social Facebook, supuestamente escritos por usuarios que ganaron los pasajes. La verificación efectuada mostró que los mensajes eran falsificados. Podemos incluso dejar nuestros propios comentarios, pero después de que la página se actualiza, desaparecen. Todo esto está dirigido a que la víctima crea que la página es legítima.

Una ratonera con dos pasajes aéreos

Prestamos atención a que muchos comentarios escritos en diferentes idiomas, están publicados en nombre de las mismas personas, son similares en contenido y los más probable es que se los haya traducido con un traductor automático.

Una ratonera con dos pasajes aéreos

Después de realizar todas las acciones, el sitio redirecciona al usuario a diferentes páginas, según sus datos de geolocalización. En algunos casos, nos redirigieron a las siguientes variantes:

Una ratonera con dos pasajes aéreos

Si se repite toda la cadena de acciones, el sitio se comporta de manera diferente y a veces envía al usuario a páginas diferentes una vez completada la encuesta. Los sitios que nos tocó ver eran de diversos contenidos dudosos: loterías, anuncios, nuevas encuestas con premios, enlaces para descargar archivos sospechosos, etc.

Una ratonera con dos pasajes aéreos

Entre otras cosas, algunos sitios ofrecen al usuario la opción de descargar un archivo útil y al mismo tiempo lo animan a instalar una extensión del navegador potencialmente peligrosa. Como resultado, la extensión adquiere acceso de lectura a todos los datos en el navegador, lo que puede permitir a los estafadores obtener las contraseñas, inicios de sesión, datos de tarjeta de crédito y otra información sensible que introduzca el usuario. Como si esto fuera poco, más adelante la extensión puede continuar difundiendo los enlaces en Facebook, pero ya en nombre del usuario y entre sus amigos. Este es justo el tipo de amenaza del ataque que analizamos anteriormente.

Una ratonera con dos pasajes aéreos

En el momento de la publicación, más de 5000 usuarios habían instalado la extensión mencionada (según los datos de la tienda de aplicaciones web).

Una ratonera con dos pasajes aéreos

Número de víctimas y geografía

La mayoría de los recursos fraudulentos que usan este esquema contienen enlaces a servicios externos que recopilan estadísticas de las visitas al sitio. Estos datos muestran que el ataque fue de muy amplia extensión y se centró sobre todo en los usuarios de smartphones. Por ejemplo, esta es la impresionante estadística de sólo dos de los dominios que encontramos:

Una ratonera con dos pasajes aéreos

Estadísticas del sitio aeroflot-ticket.us

Una ratonera con dos pasajes aéreos

Estadísticas del sitio aeroflot-ticket.us

Una ratonera con dos pasajes aéreos

Estadísticas del sitio emirateswow.us

Por desgracia, muchos usuarios de la red picaron el anzuelo de los estafadores. Creyeron tanto en su buena suerte que no fueron capaces de ver los muchos indicios de fraude y, como resultado, difundieron contenido potencialmente peligroso entre sus amigos en la red social.

Una ratonera con dos pasajes aéreos

Ejemplos de publicaciones con enlaces a sitios fraudulentos.

De esta manera, recursos web fraudulentos sencillos, que tienen muchos análogos en Internet, adquirieron una enorme popularidad en cuestión de horas.

Y es que las posibilidades de las redes sociales para propagar información por todo el mundo son infinitas. Y los estafadores lo confirman.

Una ratonera con dos pasajes aéreos

Ejemplos de publicaciones con enlaces a sitios fraudulentos.

Para terminar, unos consejos:

  • Ante este tipo de “promociones” hay que mostrar una saludable dosis de escepticismo. Antes de usar enlaces sospechosos e introducir información personal en el recurso web propuesto, debe ponerse en contacto con los representantes de la compañía en cuyo nombre se está haciendo la promoción y verificar la información.
  • Examinar cuidadosamente la barra de direcciones del recurso web le ayudará a reconocer el fraude. Basta con comprobar si el dominio pertenece a la empresa mencionada en el sitio. Los servicios que proporcionan información de WHOIS sobre dominios pueden ser de ayuda.
  • Sea responsable al publicar información en su cuenta de red social. No distribuya información de cuya veracidad no esté seguro, para no ser parte de un esquema fraudulento.
  • No instale extensiones sospechosas en su explorador. Si descubre una extensión instalada cuyo propósito no recuerda o que le parezca sospechosa, debe eliminarla inmediatamente a través de la configuración del explorador y, a continuación, cambiar las contraseñas a los sitios web que suele visitar, especialmente los de sistemas de banca en línea.
  • Utilice soluciones de seguridad del tipo Internet Security o superiores que cuenten con protección contra phishing. Estas soluciones bloquearán los intentos de navegar a un sitio fraudulento.

Una ratonera con dos pasajes aéreos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada