Los investigadores de seguridad cibernética de Akamai han detectado una nueva campaña de phishing que se dirige a los consumidores en los Estados Unidos con ofertas navideñas falsas. El objetivo de la campaña es robar credenciales de identidad confidenciales como información de tarjetas de crédito y, en última instancia, su dinero.
Los actores de amenazas están creando páginas de destino que se hacen pasar por algunas de las marcas más importantes de los EE. UU., incluidas Dick’s, Tumi, Delta Airlines, Sam’s Club, Costco y otras.
La página de destino, a menudo alojada en servicios en la nube acreditados como Google o Azure, dirige a los usuarios a completar una breve encuesta, después de lo cual se les promete un premio. La encuesta también tendría un límite de tiempo de cinco minutos, utilizando la urgencia para desviar la atención de las personas de posibles señales de alerta.
URL de phishing únicas
Después de completar la encuesta, las víctimas serían declaradas «ganadoras». Lo único que tendrían que hacer ahora, para recibir su premio, es pagar el envío. Aquí es donde darían su información confidencial de pago, para que luego los atacantes la utilicen de diferentes maneras.
Sin embargo, lo que hace que esta campaña sea única es su sistema basado en tokens que le permite pasar desapercibida y no ser detectada por las soluciones de ciberseguridad.
Como explican los investigadores, el sistema ayuda a redirigir a cada víctima a una URL de página de phishing única. Las direcciones URL difieren según la ubicación de la víctima, ya que los delincuentes buscan hacerse pasar por marcas disponibles localmente.
Al explicar cómo funciona el sistema, los investigadores dijeron que cada correo electrónico de phishing contiene un enlace a la página de destino, que viene con un ancla (#). Por lo general, así es como se navega a los visitantes a partes específicas de una página de destino. En este escenario, la etiqueta es un token, utilizado por JavaSCript en la página de destino, que reconstruye la URL.
«Los valores que se encuentran después del ancla HTML no se considerarán como parámetros HTTP y no se enviarán al servidor; sin embargo, se podrá acceder a este valor mediante el código JavaScript que se ejecuta en el navegador de la víctima», dijeron los investigadores. «En el contexto de una estafa de phishing, el valor colocado después del ancla HTML puede ignorarse o pasarse por alto cuando los productos de seguridad lo analizan para verificar si es malicioso o no».
«Este valor también se perderá si se ve con una herramienta de inspección de tráfico».
Las soluciones de ciberseguridad pasan por alto este token, lo que ayuda a los actores de amenazas a mantener un perfil bajo. Por otro lado, los investigadores, analistas y otros visitantes no deseados se mantienen alejados, ya que, sin el token adecuado, el sitio no se cargará.
Vía: BleepingComputer (se abre en una pestaña nueva)