Se ha encontrado una campaña de phishing masiva en la que se falsifica la identidad de más de 100 marcas populares de moda, calzado y accesorios. Durante un año, los atacantes emplearon al menos 10 dominios falsos por cada marca para engañar a las víctimas.
A diferencia de los ataques habituales que se hacen pasar por una única marca y utilizan algunos dominios falsos, esta campaña, descubierta por los investigadores de seguridad de Bolster, un proveedor de seguridad en Internet, es mucho más extensa. Durante 13 meses, se utilizaron más de 3.000 dominios activos y otros 3.000+ dominios inactivos para suplantar a más de 100 marcas reconocidas como Nike, Guess, Fossil, Tommy Hilfiger, Skechers y muchas más. Algunos de estos dominios incluso aparecían en los primeros resultados de búsqueda.
Los nombres de dominio siguen un patrón que combina el nombre de la marca con una ciudad o país, seguido de un dominio genérico como «.com». Los investigadores han identificado diez sitios web falsos de marcas como Nike, Puma y Clarks, que presentan un diseño muy similar a los sitios oficiales de estas marcas. Estos dominios fraudulentos fueron rastreados hasta el sistema autónomo número AS48950 y fueron alojados por dos proveedores de servicios de Internet: Packet Exchange Limited y Global Colocation Limited.
La mayoría de estos sitios están registrados a través de Alibaba.com Singapur, y la antigüedad de los dominios varía entre dos años y 90 días. El envejecimiento del dominio es un factor importante en las operaciones de phishing, ya que los dominios más antiguos pero inofensivos son menos propensos a ser detectados por herramientas de seguridad.
Dejar que un dominio envejezca durante al menos dos años ha sido una táctica utilizada en campañas de phishing. En la campaña descubierta, muchos de los dominios maliciosos han sobrevivido tanto tiempo sin ser reportados que han sido indexados por Google y es probable que obtengan una alta clasificación en los resultados de búsqueda.
Esta estrategia es particularmente efectiva para atraer a usuarios desprevenidos a visitar un sitio fraudulento, ya que la alta clasificación en Google se asocia comúnmente con credibilidad y confiabilidad. Los expertos consultados navegaron por algunas de estas páginas y se descubrió que no son clones construidos apresuradamente. Son páginas muy realistas de «Acerca de nosotros», que incluyen detalles de contacto, y las páginas de pedido funcionan como se esperaría. En general, es difícil identificarlas como sospechosas.
Aunque no se conoce la estrategia de estafa exacta utilizada en esta campaña, es muy posible que los sitios nunca envíen los productos que los clientes pagan, o que envíen imitaciones. Además, los detalles ingresados en las páginas de pago, especialmente los datos de tarjetas de crédito, pueden ser almacenados por los operadores del sitio y revendidos a ciberdelincuentes.
Para evitar caer en estos engaños, se recomienda omitir los resultados promocionados en la búsqueda de Google al buscar el sitio web oficial de una marca. Si aún tienes dudas, es mejor consultar la página de Wikipedia de la marca o sus canales de Redes Sociales.
Esta campaña masiva de suplantación de identidad también podría apuntar a usuarios corporativos, utilizando marcas conocidas por los empleados. Solo se requiere tiempo y esfuerzo para crear un sitio web falso lo suficientemente creíble y establecer un medio para que los usuarios accedan a él, lo cual a menudo se logra mediante ataques de phishing.
Este incidente resalta la importancia de que los usuarios estén alerta al interactuar en línea y destaca la necesidad de una capacitación continua en concienciación de seguridad. Sin embargo, no vale cualquier concienciación.
A menudo, las organizaciones preparan cursos al respecto una o dos veces al año, ya sean presenciales o en línea. Si bien la intención es buena, los resultados puede que no lo sean tanto. Esto es porque la concienciación no es algo que solo deba tenerse en cuenta en estas ocasiones, sino que el estado de alerta debe ser continuo, y para ello es necesario que las actividades de concienciación también lo sean. De lo contrario, se estaría protegiendo a los empleados y a la organización por apenas dos o tres meses, tal y como han demostrado diversos estudios científicos sobre la retención y el olvido de la información.
La concienciación es imprescindible para parar no solo este, sino todo tipo de ataques de ingeniería social, que están cada vez más a la orden del día. La protección de la organización está en mano de todos.
