En estos últimos días hemos seguido de cerca varias campañas que afectaron a marcas de diversas tiendas muy populares como Zara, Starbucks, McDonald's y finalmente el supermercado argentino COTO.
Luego de alertar rápidamente a nuestros lectores, hemos analizado con mayor profundidad los patrones compartidos de estas campañas y en este post resaltaremos algunas herramientas curiosas utilizadas por los ciberdelincuentes. Finalmente, reflexionaremos acerca de esto que parece ser una nueva tendencia de scams.
La Ingeniería Social, es decir el arte de disuadir a las personas con algún fin, es uno de los puntos fuertes en este tipo de fraudes. Complementándolas con técnicas de geolocalización, los ciberdelincuentes han logrado una potente propagación convirtiendo a un usuario distraído no solo en víctima, sino también al mismo tiempo en cómplice de la propagación de este tipo de estafa.
Es notable también que aquí se utiliza el nombre de reconocidas tiendas o marcas de confianza, que normalmente no están ligadas a fraudes digitales ni manejan información sensible, como sería el caso en entidades financieras, que históricamente son afectadas por códigos maliciosos y sitios de phishing. Así, los ciberdelincuentes intentan despistar a los usuarios hogareños explotando la relación de confianza hacia esas marcas, que nunca antes fueron afectadas ni vinculadas a incidentes de seguridad.
Otro eslabón importante es la cantidad de marcas involucradas para generar una cantidad de plantillas; es difícil encontrar algún país en donde no se halle al menos una de todas las marcas utilizadas para estas campañas de sobresalientes proporciones.
¿Qué empresas están siendo usadas como señuelo?
Al investigar los servidores involucrados se encontró que están alojados en la República de Moldavia y, en los DNS con los cuales se involucran las estafas, se encontró evidencias de que adicionalmente otras empresas han sido y podrían estar siendo afectadas.
Dentro de ellas, se puede mencionar a grandes tiendas presentes en múltiples países que fueron elegidas de forma minuciosa bajo la premisa de ser muy populares y encontrarse en cuantas naciones sea posible. A continuación veremos algunas de ellas.
IKEA
Es una corporación multinacional de origen sueco radicada en los Países Bajos (Holanda) que cuenta con 238 tiendas distribuidas en 44 países. Es una de las principales campañas, debido que constó solamente para la parte inicial de la estafa, el usó de cinco subdominios asociados que involucran al nombre e imagen de la empresa:
- ikea.giftca***-***mo.com
- ikea-jo.gift****-**********.com
- ikea.nl-wa********en.com
- ikea-uk.giftca***-***mo.com
- ikea.giftca**-**********.com
H&M
Es otra cadena sueca que opera en 44 países desde Europa, Asia, África y América. Por este motivo los ciberdelincuentes se benefician de la gran diversidad de locaciones de sus tiendas de indumentaria, y utilizaron dos dominios para esta marca, como veremos a continuación:
- hm-voucher.giftca***-***mo.com
- hm-voucher.nl-wa*****en.com
Nuevamente, como vemos en las siguientes imágenes, los patrones de encuestas coinciden, personalizándose con los colores de H&M. Además, se presentan con la fecha actualizada:
KFC (Kentucky Fried Chicken)
Es una tienda de comidas con más de 18 mil restaurantes distribuidos en 144 países y, al igual que ocurrió con McDonald’s, fue víctima de esta astronómica campaña de fraude.
Las siguientes imágenes corresponden a la versión del engaño que utiliza el nombre de KFC:
SPAR
Esta mega cadena de supermercados cuenta con más de 20 mil sucursales en 35 países, y así luce el engaño que utiliza su nombre:
No obstante, los ciberdelincuentes buscaron un grado mayor de penetración a nivel mundial, y es por eso que en países donde no se encuentran presentes estas tiendas buscaron la forma de reemplazarla para lograr el mismo alcance masivo. Por ejemplo, en Argentina utilizaron la cadena de supermercados COTO, que posee alrededor de 120 sucursales en todo el país.
7-Eleven
Otra tienda utilizada para este fraude que cuenta con 52.000 establecimientos en 16 países, especializada en la venta de consumos básicos y muy presente en América del Norte y Asia.
Otra empresa del mismo rubro afectada fue la cadena de supermercados Walmart, que posee 11 mil tiendas en 28 países. El subdominio utilizado en este caso fue:
- walmart.giftc*******.com
Siguiendo el proceso del engaño
Como se puede observar, las plantillas utilizadas son muy similares en todos los casos, personalizándolas para cada marca con sus respectivos colores y logos.
Como ya vimos en los distintos casos, se comparte de manera similar un modelo de encuestas predeterminado por la dirección IP del visitante. Esta IP da a los ciberdelicuentes una idea del país e idioma la posible víctima.
Si examinamos el primer salto que se realiza, podremos percibir que utiliza el método GET dejando a la luz la forma en que remite los parámetros, como podemos observar en la siguiente imagen:
De este modo, se puede demostrar la flexibilidad de estas campañas cambiando el valor del parámetro language - en este caso de “es” (español) a “en” (ingles), y se observa cómo la plantilla de la encuesta ficticia cambia automáticamente su idioma:
Del mismo modo, todas las campañas puede ir cambiando automáticamente el idioma según el país donde se encuentre como vemos en las siguientes imágenes en donde se puede visualizar la falsa encuesta de Mc Donalds en alemán, castellano, francés, holandés, inglés y portugués entre otros:
El siguiente paso en las encuestas es compartir el enlace de inicio a 10 contactos a través de WhatsApp, limitando al usuario a unos pocos minutos, con el fin de no dejarlo reflexionar acerca de la acción que se está realizando. En otras palabras, en la ansiedad del momento que se le impone, no se le da tiempo de sospechar acerca de un posible fraude.
Este tipo de técnica no es tan frecuente, pero evidentemente es efectiva y probablemente se comenzará a ver en mayor medida en futuros casos similares.
El fin de la campaña viene acompañado de diversas actividades que engañan al usuario, ya que se encontraron fraudes de distintas naturalezas: casos de suscripción a números SMS Premium e instalación de Aplicaciones Potencialmente No Deseadas.
En otros casos, si se accede desde una PC y direcciones IP de Estados Unidos, el usuario es redirigido a páginas del tipo rogue que advierten acerca de un virus que infectó su sistema y con un mensaje del tipo pop up y un audio muy persistente indican comunicarse a un número telefónico con el fin de recibir soporte.
En caso de no hacerlo e intentar cerrar esa página, se perderá todo el contenido de su disco rígido. Claro que esto es completamente falso; al igual que los premios de las encuestas o bonos de regalo, son solo artilugios de la Ingeniería Social con el fin de inducir al usuario a realizar algún tipo de acción.
Para concluir…
Es interesante destacar la gran cantidad de recursos utilizados en estas operaciones, teniendo en cuenta que son apuntadas a múltiples países, varias monedas e inclusive a diversos idiomas.
Con la flexibilidad y automatización de estos ataques, sumado a la naturaleza de las entidades afectadas y teniendo en cuenta que no hay muchos antecedentes de este tipo procedimientos en cuanto a incidentes de seguridad, es natural que exista una cantidad elevada de usuarios que hayan sido víctimas y que inclusive aún no se hayan dado cuenta.
Este tipo de estafa demuestra por qué la educación en este caso es la primera barrera de protección; en ese sentido, nos proponemos hacer reflexionar a los usuarios y alertar sobre estas nuevas tendencias que utilizan antiguas técnicas en canales como WhatsApp.
Ya hemos visto alrededor de diez marcas utilizadas en esta campaña que se propuso lograr alcance mundial, y lo más probable es que con el correr de los días sigamos viendo nuevos casos con el nombre de otras empresas o tiendas. Los mantendremos informados sobre los avances de esta tendencia de scams multimarca, con alcance en múltiples países e idiomas.
Mientras tanto, no se pierdan nuestra Guía definitiva para identificar y protegerse de engaños en Internet.
