Clicky

Sitios de descuentos falsos aprovechan el Black Friday para robar información de los compradores

Black Friday

Algunas de las marcas suplantadas incluyen a IKEA

Una nueva campaña de phishing está dirigida a compradores de comercio electrónico en Europa y Estados Unidos con páginas falsas que imitan marcas legítimas con el objetivo de robar su información personal antes de la temporada de compras del Viernes Negro (Black Friday).

"La campaña aprovechó la mayor actividad de compras en línea en noviembre, la temporada alta de los descuentos del Black Friday. El actor de amenazas utilizó falsos productos con descuento como señuelos de phishing para engañar a las víctimas y lograr que proporcionaran sus datos del titular de la tarjeta (CHD), datos de autenticación confidenciales (SAD) e información de identificación personal (PII)", afirmó EclecticIQ.

La actividad, observada por primera vez a principios de octubre de 2024, se ha atribuido con gran certeza a un actor de amenazas chino con motivaciones económicas cuyo nombre en código es SilkSpecter. Algunas de las marcas suplantadas incluyen IKEA, L.L.Bean, North Face y Wayfare.

Se ha descubierto que los dominios de phishing utilizan dominios de nivel superior (TLD) como .top, .shop, .store y .vip, a menudo typosquatting en los nombres de dominio de organizaciones de comercio electrónico legítimas como una forma de atraer a las víctimas (por ejemplo, northfaceblackfriday[.]shop). Estos sitios web promueven descuentos inexistentes, mientras recopilan sigilosamente información de los visitantes.

La flexibilidad y credibilidad del kit de phishing se mejoran mediante un componente de Google Translate que modifica dinámicamente el idioma del sitio web en función de los marcadores de geolocalización de las víctimas. También implementa rastreadores como OpenReplay, TikTok Pixel y Meta Pixel para controlar la efectividad de los ataques.

El objetivo final de la campaña es capturar cualquier información financiera confidencial ingresada por los usuarios como parte de pedidos falsos, y los atacantes abusan de Stripe para procesar las transacciones para darles una ilusión de legitimidad, cuando, en realidad, los datos de la tarjeta de crédito se filtran a servidores bajo su control.

Es más, se solicita a las víctimas que proporcionen sus números de teléfono, una medida que probablemente esté motivada por los planes del actor de amenazas de realizar ataques posteriores de smishing y vishing para capturar detalles adicionales, como códigos de autenticación de dos factores (2FA).

"Al hacerse pasar por entidades confiables, como instituciones financieras o conocidas plataformas de comercio electrónico, SilkSpecter podría muy probablemente eludir las barreras de seguridad, obtener acceso no autorizado a las cuentas de las víctimas e iniciar transacciones fraudulentas", dijo EclecticIQ.

Actualmente no está claro cómo se difunden estas URL, pero se sospecha que están relacionadas con cuentas de redes sociales y con el envenenamiento de la optimización de motores de búsqueda (SEO).

Jesus_Caceres