Una ratonera con dos pasajes aéreos

14 Jun 2017

lectura de un minuto

Esquema del ataque
Número de víctimas y geografía

Autores

Nadezhda Demidova

Durante el semana pasado, en las redes sociales hubo una ola de mensajes que afirmaban que grandes compañías aéreas estaban regalando pasajes aéreos. Usuarios de todo el mundo resultaron involucrados al publicar por sí mismos mensajes que mencionaban a las compañías aéreas Emirates, AirFrance, Aeroflot, S7 Airline, Eva Air, Turkish Airlance, Air Azia, Air India y otras. No excluimos que pronto se produzcan publicaciones similares con otros nombres de compañías.

Por supuesto, no se trataba de promociones con pasajes de regalo. Los estafadores se ponían en contacto con las víctimas en nombre de las principales líneas aéreas, pero su verdadero objetivo era hacer que se suscribiesen a servicios móviles de pago, recopilar datos personales, instalar malware, y aumentar el tráfico de sitios publicitarios y de sitios de dudoso contenido. Para ello, los delincuentes registraron muchos dominios, en los que pusieron contenidos en nombre de compañías famosas. En estos dominios, felicitaban a los usuarios por haber ganado dos pasajes aéreos y les pedían que ejecutasen una serie de acciones para obtener el premio. Como resultado, la víctima llegaba a otro sitio de los delincuentes, cuyo objetivo es monetizar su “trabajo”, y distribuir información sobre promociones falsas en las redes sociales.

Ejemplo de un mensaje en una red social con un vínculo a un sitio fraudulento

Este no es el primer caso en que los propios usuarios distribuyen contenidos fraudulentos en las redes sociales. Ya antes habíamos escrito sobre una petición falsa para proteger a Suárez, distribuida por los usuarios de Facebook. También publicamos información sobre falsas recolecciones benéficas e incluso sobre un “virus pornográfico”. Todos estos casos tenían algo en común: la amenaza se propaga a través de las redes sociales, a menudo con la participación de los propios usuarios.

Esquema del ataque

Pero volvamos al nuevo caso y analicémoslo con más detalle. Al hacer clic en el enlace del muro en la red social, el usuario va a dar a un sitio fraudulento. Hemos encontrado una serie de dominios pertenecientes a los delincuentes: deltagiveaway.com, vvxwx9.us, aeroflot-com.us, aeroflot-ticket.us, qq3mz9.us, emiratesnow.us, emiratesgo.us, com-beforeitsends.us, emirates.iwelltrip.us, y muchos otros.

Ejemplos de sitios fraudulentos que usan nombres de aerolíneas conocidas

Debido a que en el esquema sólo cambia el logotipo, el idioma y el diseño de color de la compañía, analizaremos solo uno de los muchos sitios. El sitio, supuestamente propiedad de American Airlines, notifica al usuario que ha ganado dos pasajes gratuitos y que para recibirlos debe responder a tres preguntas.

Ejemplo de un sitio fraudulento que usa los símbolos de American Airlines

Una vez que la víctima ha respondido a las preguntas, se le pide que haga dos cosas más. La primera es publicar información sobre la promoción en su página de la red social, con un comentario de gratitud a la aerolínea. La segunda, hacer clic en “Me gusta”. Vale la pena señalar que en la página se muestran “comentarios” de la red social Facebook, supuestamente escritos por usuarios que ganaron los pasajes. La verificación efectuada mostró que los mensajes eran falsificados. Podemos incluso dejar nuestros propios comentarios, pero después de que la página se actualiza, desaparecen. Todo esto está dirigido a que la víctima crea que la página es legítima.

Prestamos atención a que muchos comentarios escritos en diferentes idiomas, están publicados en nombre de las mismas personas, son similares en contenido y los más probable es que se los haya traducido con un traductor automático.

Después de realizar todas las acciones, el sitio redirecciona al usuario a diferentes páginas, según sus datos de geolocalización. En algunos casos, nos redirigieron a las siguientes variantes:

Si se repite toda la cadena de acciones, el sitio se comporta de manera diferente y a veces envía al usuario a páginas diferentes una vez completada la encuesta. Los sitios que nos tocó ver eran de diversos contenidos dudosos: loterías, anuncios, nuevas encuestas con premios, enlaces para descargar archivos sospechosos, etc.

Entre otras cosas, algunos sitios ofrecen al usuario la opción de descargar un archivo útil y al mismo tiempo lo animan a instalar una extensión del navegador potencialmente peligrosa. Como resultado, la extensión adquiere acceso de lectura a todos los datos en el navegador, lo que puede permitir a los estafadores obtener las contraseñas, inicios de sesión, datos de tarjeta de crédito y otra información sensible que introduzca el usuario. Como si esto fuera poco, más adelante la extensión puede continuar difundiendo los enlaces en Facebook, pero ya en nombre del usuario y entre sus amigos. Este es justo el tipo de amenaza del ataque que analizamos anteriormente.

En el momento de la publicación, más de 5000 usuarios habían instalado la extensión mencionada (según los datos de la tienda de aplicaciones web).

Número de víctimas y geografía

La mayoría de los recursos fraudulentos que usan este esquema contienen enlaces a servicios externos que recopilan estadísticas de las visitas al sitio. Estos datos muestran que el ataque fue de muy amplia extensión y se centró sobre todo en los usuarios de smartphones. Por ejemplo, esta es la impresionante estadística de sólo dos de los dominios que encontramos:

Estadísticas del sitio aeroflot-ticket.us

Estadísticas del sitio emirateswow.us

Por desgracia, muchos usuarios de la red picaron el anzuelo de los estafadores. Creyeron tanto en su buena suerte que no fueron capaces de ver los muchos indicios de fraude y, como resultado, difundieron contenido potencialmente peligroso entre sus amigos en la red social.

Ejemplos de publicaciones con enlaces a sitios fraudulentos.

De esta manera, recursos web fraudulentos sencillos, que tienen muchos análogos en Internet, adquirieron una enorme popularidad en cuestión de horas.

Y es que las posibilidades de las redes sociales para propagar información por todo el mundo son infinitas. Y los estafadores lo confirman.

Ejemplos de publicaciones con enlaces a sitios fraudulentos.

Para terminar, unos consejos:

Ante este tipo de “promociones” hay que mostrar una saludable dosis de escepticismo. Antes de usar enlaces sospechosos e introducir información personal en el recurso web propuesto, debe ponerse en contacto con los representantes de la compañía en cuyo nombre se está haciendo la promoción y verificar la información.
Examinar cuidadosamente la barra de direcciones del recurso web le ayudará a reconocer el fraude. Basta con comprobar si el dominio pertenece a la empresa mencionada en el sitio. Los servicios que proporcionan información de WHOIS sobre dominios pueden ser de ayuda.
Sea responsable al publicar información en su cuenta de red social. No distribuya información de cuya veracidad no esté seguro, para no ser parte de un esquema fraudulento.
No instale extensiones sospechosas en su explorador. Si descubre una extensión instalada cuyo propósito no recuerda o que le parezca sospechosa, debe eliminarla inmediatamente a través de la configuración del explorador y, a continuación, cambiar las contraseñas a los sitios web que suele visitar, especialmente los de sistemas de banca en línea.
Utilice soluciones de seguridad del tipo Internet Security o superiores que cuenten con protección contra phishing. Estas soluciones bloquearán los intentos de navegar a un sitio fraudulento.

Autores

Nadezhda Demidova

Una ratonera con dos pasajes aéreos

Últimas publicaciones

Informes

Hemos elaborado este informe con el propósito de compartir información de inteligencia avanzada para hacer frente a los grupos de APT asiáticos.

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

RevengeHotels es una campaña de cibercrimen mediante malware, dirigida contra hoteles, hostales y empresas de turismo y hostelería ubicados sobre todo, pero no solo, en Brasil. Hemos confirmado que han caído víctimas más de 20 marcas de hoteles.

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Una ratonera con dos pasajes aéreos

Esquema del ataque

Número de víctimas y geografía

Los phishers y su sed de conocimiento

La credulidad, una forma de perder criptomonedas

El spam y phishing en el primer trimestre de 2018

Devolución de impuestos o Cómo perder el dinero que le queda

Videos “adultos” para los usuarios de Facebook

Códigos QR en el phishing enviado por correo electrónico

Uso de sitios hackeados para hacer phishing

Criptopesca postal: Cómo se roban los criptomonederos fríos y calientes

Cómo los estafadores utilizan el IPFS en el phishing por correo electrónico

Envíos masivos con elementos de spam selectivo

Últimas publicaciones

El spam y el phishing en 2023

Tunelización de red con … QEMU?

Virología móvil 2023

Ciberamenazas para las industrias e infraestructuras de TO en 2024

Informes

Tácticas, técnicas y procedimientos (TTPs) de los grupos de APT asiáticos modernos

MosaicRegressor: acechando en las sombras de UEFI

RevengeHotels: cibercrimen dirigido a recepciones de hotel en todo el mundo

Dark Tequila Añejo

Suscríbete a nuestros correos electrónicos semanales