La empresa de ciberseguridad israelí Imperva descubrió una de las campañas de phishing más grandes de la historia.
Investigadores de la empresa descubrieron que una banda de hackers rusos estaba detrás de mensajes de texto de phishing enviados a usuarios de todo el mundo, en cuarenta idiomas diferentes. El objetivo era robar información financiera, como números de tarjetas de crédito y cuentas bancarias, haciéndose pasar por sitios web conocidos u organizaciones que suelen recibir pagos en línea. En el país, por ejemplo, la empresa de correos Israel Postal Company suele pedir a los clientes que reciben paquetes del extranjero que abonen los pagos administrativos y de aduanas. Los piratas informáticos enviaban mensajes falsos a los israelíes exigiendo dichos pagos en línea mientras se presentan como el sitio web válido de la Empresa Postal.
Su método es sencillo. Adjuntan un enlace para pagar o recibir el pago, y la víctima hace clic en él y es transferida a otra página que parece idéntica al sitio web real, donde se le pide que facilite información financiera personal. Los hackers se quedan entonces con los datos. Según investigadores, cuando las víctimas facilitaban información financiera, los piratas intentaban transferir la suma desde su cuenta en cuestión de minutos.
En esta operación masiva que comenzó en torno a mayo de 2022, se utilizan unos 800 nombres de dominio, todos ellos casi idénticos a sitios web válidos. En total, los investigadores identificaron 340 empresas y marcas cuyos sitios fueron falsificados, entre ellas Facebook, FedEx, DHL y Booking.com.
Los ciberdelincuentes robaban el diseño de los sitios web en sus páginas falsificadas en el idioma requerido y los promocionaban rápidamente.
"Se trata de un ataque global de phishing dirigido por día a más de 300 empresas. Los hackers construyeron una infraestructura de soporte genérico en 48 idiomas que les permite añadir fácilmente más objetivos para su ataque", contó Shlomit Yerushalmi, investigadora de Imperva. "Gran parte de su estrategia consiste en imitar con éxito la experiencia del usuario, para evitar ser detectados. Incluso proporcionaron operadores de atención al cliente en directo. Encontramos pruebas detalladas de ello", afirmó.
Yerushalmi informó que el alcance de la operación es inusual y cree que hay miles de personas que fueron víctimas de ella y facilitaron su información financiera a los piratas informáticos.
La trama se detectó cuando un empleado de Imperva intentó vender una sillita de bebé usada en Yad2, un conocido sitio web israelí. Se puso en contacto con él a través de WhatsApp una persona que afirmaba estar interesada y que le proporcionó un enlace a lo que parecía ser un sitio de confianza para realizar el pago. En el mensaje, se le decía al empleado de Imperva que todo lo que tenía que hacer para recibir su dinero era pulsar el botón naranja situado en el centro de la página. Eso le envió a otra página en la que se le pedía que rellenara sus datos de crédito. Para su sorpresa, la página tenía incluso una opción de chat con un representante del servicio de atención al cliente, que estaba disponible para ayudarle a completar el proceso: una persona real, que convencería a los objetivos de que facilitaran la información, utilizando cualquier lenguaje apropiado.
Una vez proporcionada la información, el empleado de Imperva recibió un mensaje de texto de la compañía de su tarjeta de crédito, pidiéndole que aprobara el pago, como es el procedimiento estándar para evitar el uso de tarjetas robadas. Los piratas informáticos intentaron entonces retirar 4.500 hryvnia ucranianos (el equivalente a 450 shekels o 122 dólares.) Si se hubiera concedido la aprobación, el dinero se habría transferido a los hackers.
Aunque se utilizó un banco ucraniano para blanquear el dinero robado, los investigadores afirmaron que la campaña es rusa.
"Descubrimos que los hackers utilizaron sobre todo un código ruso que opera sitios web falsos", sostuvo Yerushalmi. "También añadieron insultos utilizados a menudo contra los ucranianos y las direcciones IP eran rusas", agregó, y planteó que podría haber un esfuerzo adicional para menospreciar a Ucrania en línea con la propaganda rusa, aunque no se encontró ninguna conexión con entidades políticas oficiales rusas.
"Se trata de delincuentes que querían robar dinero", advirtió.
Este tipo de ciberestafas no son habituales. La mayoría de los hackers se concentran en una sola marca y utilizan un solo idioma. Hay operaciones de phishing que pueden contratarse, pero los investigadores no vieron que ninguna banda utilice esas habilidades para su propia operación. Puede que estén intentando maximizar sus beneficios antes de que otros entren en el juego, sabiendo que si proporcionan su infraestructura a otros sería detectado rápidamente.
Esta operación de phishing demuestra lo importante que es estar alerta antes de interactuar con cualquier entidad desconocida en línea.
