Anuncios maliciosos en Google redirigen a sitios falsos de MasterCard para robar datos
Cada a帽o, los 煤ltimos meses traen consigo una tendencia que se repite: El aumento de cantidad de sitios maliciosos, y m谩s a煤n de aquellos con tem谩ticas financieras y de e-commerce. De hecho, y seg煤n la telemetr铆a de los sistemas de ESET, compa帽铆a l铆der en detecci贸n proactiva de amenazas, la cantidad de detecciones de enlaces de phishing 煤nicas aument贸 un 28.3% en el segundo cuatrimestre de 2022. Con tem谩ticas como falsos sitios de compraventa y suplantaci贸n de identidad de bancos, los cibercriminales ven en estas 茅pocas de tanto movimiento comercial una oportunidad de r茅dito.
Una de las t茅cnicas utilizadas para obtener v铆ctimas es la manipulaci贸n de los buscadores, ya sea con t茅cnicas de blackhat SEO o pagando anuncios en los buscadores para promover sitios falsos. Desde el laboratorio de ESET Latinoam茅rica, analizaron dos sitios falsos activos que se distribuyen a trav茅s de anuncios en buscadores y que llevan a las personas a sitios fraudulentos para robar sus datos. En ambos casos los cibercriminales buscan suplantar la identidad de la entidad financiera MasterCard. Es importante mencionar que MasterCard es tambi茅n v铆ctima de este enga帽o que utiliza su nombre y que pretende hacer creer a las v铆ctimas que estos sitios son los leg铆timos
MasterConsultas es una plataforma que permite a los propietarios de tarjetas MasterCard acceder con un nombre de usuario y contrase帽a a los res煤menes y detalles de consumos de sus tarjetas. En este caso, ambos enlaces utilizan colores, logotipos e im谩genes propios de la compa帽铆a suplantada. Sin embargo, utilizan estrategias distintas para ejecutar el enga帽o.
El primer sitio se trata de una copia de MasterConsultas, un portal de Mastercard para usuarios, y utiliza una t茅cnica para camuflar el enlace falso conocida como ataque homogr谩fico, la misma consiste en usar variaciones del nombre oficial del sitio por ejemplo, mediante caracteres similares a los que se utilizan en lat铆n, para que a simple vista no genere sospechas el nombre de la URL. All铆, se le solicita a la v铆ctima las credenciales de inicio de sesi贸n.
Luego de introducir las credenciales, el atacante solicita la informaci贸n crediticia de la v铆ctima, alegando ser por seguridad. Finalizado el proceso, la v铆ctima es redirigida al sitio real de la compa帽铆a, para no levantar sospechas. Sin embargo, el cibercriminal ahora tiene la informaci贸n de inicio de sesi贸n y los datos de las tarjetas en su poder.
En el segundo caso, la estrategia utilizada por los atacantes es distinta. En este, se ofrece un supuesto servicio de asesor铆a financiera, pero tambi茅n podemos ver menci贸n y logos de la marca suplantada. Adem谩s, el sitio alega tener oficinas en una direcci贸n gen茅rica de Buenos Aires, Argentina.
La 煤nica acci贸n que permite realizar el sitio es hacer clic para contactarse con un asesor financiero a trav茅s de WhatsApp o llamarlo por tel茅fono. La cuenta de WhatsApp vinculada al falso sitio tambi茅n suplanta la identidad de MasterCard.
De esta manera, los atacantes buscan que los contacten personas desprevenidas que creen que ingresaron al sitio oficial. Una vez en el sitio, se solicita a las v铆ctimas datos sensibles, como credenciales, los datos de las tarjetas o cuentas bancarias, documentaci贸n personal, o hasta pagos para solucionar problemas inexistentes.
