En medio del entusiasmo y de la emoción por el Black Friday, los ciberdelincuentes están poniendo en marcha planes para engañar a los consumidores con el fin de que compartan las credenciales de sus tarjetas y beneficiarse de la temporada de compras, según advierte Trend Micro. En una operación de skimming que se ha observado recientemente, los agentes de amenazas falsificaron la plataforma de servicios de pago (PSP) de un minorista, lo que dio como resultado una página híbrida de skimmer-phishing. Otra campaña utilizó malware de redirección en los websites de WordPress para que los usuarios llegaran a su página de phishing malicioso.
El primer esquema de skimming fue descubierto por investigadores de Malwarebytes. Para algunos y retailers de comercio electrónico, redirigir a los usuarios a un sitio web gestionado por partner PSP es una práctica relativamente común. Sin embargo, los ciberdelincuentes detrás de la campaña descubierta intercambiaron la página legítima por una copia fraudulenta, para que los clientes pudieran introducir su información financiera en la fraudulenta. La información sería entonces extraída al servidor controlado del cibercriminal.
La página fue diseñada para los clientes de una tienda en Australia que ejecuta el Sistema de Administración de Contenido PrestaShop (CMS) y utiliza la plataforma de Commonwealth Bank para los pagos. La página híbrida de skimmer-phishing en sí misma es una copia de la página legítima de procesamiento de pagos CommWeb del Commonwealth Bank en Australia. Los investigadores también observaron cómo la página fraudulenta incluso se aseguraba de que los usuarios rellenaran todos los campos de datos con entradas válidas, alertando a los usuarios si habían introducido información errónea o si se habían saltado un campo.
El segundo esquema fue descubierto por un investigador de Trend Micro que encontró ciertos sitios de WordPress infectados con un malware de redirección que podía llevar a los usuarios a un sitio de phishing. Los sitios web afectados eran de empresas más pequeñas y sitios de pasatiempos. El malware redirige a los visitantes de la web infectada a una cadena de websites y llega a tres sitios principales. Los usuarios de Mac podían aterrizar en un sitio que les pedía que escanearan su dispositivo en busca de malware. Otros llegaban a una página que anuncia la posibilidad de ganar un teléfono Samsung Galaxy. Mientras que otro es un sitio web de phishing, de nuevo uno que robaría información financiera de los usuarios.
El investigador señaló que algunos usuarios han caído en el sistema, pero que está ganando algo de tracción.
Defensa contra esquemas de skimming y phishing
Estos dos casos muestran cómo los actores de amenazas utilizan medios creativos para ocultar sus planes y engañar incluso a los usuarios más vigilantes. Están aprendiendo a evitar los indicadores habituales de actividad fraudulenta como los errores tipográficos y gramaticales, ya sea ideando nuevas formas de distribuir sus páginas de phishing o utilizándolas en combinación con otras técnicas.
Con el Black Friday a la vuelta de la esquina, es posible que los consumidores y los retailers se enfrenten a más campañas de este tipo a medida que avanza la temporada de compras. Otras campañas de skimming podrían dirigirse a otras industrias y servicios.
Desde Trend Micro se insiste en que, durante esta temporada, las organizaciones deben monitorizar y revisar sus sitios web externos, especialmente aquellos que involucran transacciones online para detectar rápidamente cuando los esquemas de redirección y similares están victimizando a sus clientes. Igualmente, los consumidores deben ser cautelosos al realizar transacciones online, no solo prestando mucha atención a los indicadores de phishing, sino también a comportamientos inusuales como las redirecciones múltiples.