JBL, la empresa fabricante de equipamiento de audio, fue suplantada en una campaña que intenta engañar a usuarios de Latinoamérica -principalmente argentinos- para que ingresen datos de tarjeta de crédito en una página falsa. ESET, compañía líder en detección proactiva de amenazas, analiza el engaño y comparte consejos para evitar ser víctima.
Varias de las URLs utilizadas en esta campaña buscan aparentar legitimidad mediante palabras asociadas a descuentos o a la marca, lo que puede confundir a usuarios desprevenidos. Por ejemplo, uno de los enlaces (actualmente dado de baja) incluía la palabra “hotsale”, en un intento de imitar las prácticas habituales de las marcas, que suelen crear páginas específicas para eventos como “CyberWeek”, “CyberMonday” o “Black Friday”.
Otros enlaces responden a estrategias típicas del phishing: crear dominios similares a los reales. Por eso desde ESET alertan que es fundamental revisar las URLs cuidadosamente antes de interactuar con cualquier sitio, especialmente si el enlace llegó por un correo no solicitado. Un sitio legítimo tendría una estructura como /marca.com/hotsale y no //marcahotsail.com. A simple vista, la diferencia puede pasar desapercibida.
En el análisis de la página falsa y la campaña de phishing, realizado por el equipo de investigación de ESET Latinoamérica, se detectó que el sitio malicioso cambiaba su visualización adaptando qué página veía el usuario según su ubicación geográfica, datos del navegador y del servidor de internet. Esto se conoce como phishing dinámico, una evolución en las tácticas de los ciberdelincuentes para lograr engaños más difíciles de detectar.
En la misma URL puede accederse a una página que simula ser un catálogo online de indumentaria, pero desde ciertos navegadores, para llegar a usuarios específicos de acuerdo con la configuración de la campaña, se observa la página falsa de JBL donde ocurrirá el robo de datos con la excusa de acercar ofertas especiales.
Pie de imagen: Distintas interfaces que se muestran según el usuario que ingrese al link.
En el primer paso, los ciberdelincuentes diseñan un sitio con características similares a la página legítima de la marca a suplantar o clonar, y distribuyen el link malicioso por distintas vías. Una vez que el usuario ingresa a la página falsa se encuentra con una interfaz que imita a la página oficial de la empresa (dependiendo de características del navegador y conexión de la posible víctima).
Pie de imagen: Home del sitio falso que imita a la tienda oficial de la marca.
“En este caso, se utilizaron URLs que incluyen las palabras hotsale, descuentos, o store, agregadas al link, lo que puede confundir en una vista rápida de verificación de la URL.”, destaca Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Desde ESET advierten que al ingresar a este sitio falso, hay algunos signos y señales de alerta de phishing que pueden identificarse:
- La página muestra precios en pesos argentinos, pero tiene la descripción de productos en inglés, como si los ciberdelincuentes no hubieran tenido el detalle de traducir completamente el sitio plantilla.
- El sitio falso tienta con descuentos increíbles de porcentajes altos (60% o más) lo que habla de ofertas demasiado buenas para ser reales. Efectivamente estos precios solo responden a una de las características del phishing: ser llamativas y apelar a la emoción del usuario, en este caso juegan con la posibilidad de adquirir un producto en una super oportunidad para ahorrar mucho dinero en un producto muy atractivo.
Pie de imagen: Sitio falso que imita a JBL donde se observan ofertas inverosímiles para tentar a los usuarios a continuar hacia una supuesta compra.
Si la víctima cliquea en “Quick view” (vista rápida, en español), o Buy now (compra ahora) es llevado a un formulario de phishing que le pedirá datos personales y de tarjeta de crédito o débito, cuenta de PayPal, etc., para finalizar la compra.
Pie de imagen: Etapa final del engaño, donde un formulario falso de compra lleva al usuario a compartir información personal y financiera.
Pie de imagen: Final del formulario falso que consuma el robo de información que llegará directo a los cibercriminales
“Una vez enviado el formulario, los datos que ingresa la víctima irán directamente a los ciberdelincuentes, quienes no solo pueden utilizarlos para realizar compras fraudulentas, sino también para explotarlos y venderlos. Además, podrían suplantar la identidad de la víctima para continuar los engaños, esta vez usurpando su nombre.”, advierte el investigador de ESET.
Para mantenerte alejado de este tipo de estafas, ESET Latinoamérica comparte algunas medidas a tener en cuenta:
- Siempre que se reciba un correo electrónico o se vea una publicidad online, que prometa algo que puede parecer demasiado bueno para ser verdad, lo más probable es que sea falso.
- No hacer clic en enlaces. Lo ideal es ingresar la URL por cuenta propia. Si la oferta era real, aparecerá en la página principal el sitio legítimo.
- Analizar la URL para detectar inconsistencias. Revisar que el dominio sea el correcto, muchas veces desde esa instancia se puede asegurar que se trata de un sitio malicioso que suplanta la identidad de alguna marca o empresa.
- Si bien puede haber descuentos estacionales reales, liquidaciones de temporada, lo usual es que se usen como anzuelo supuestas oportunidades únicas y por tiempo limitado para hacer actuar con apuro y sin hacer los chequeos pertinentes, aunque sea algo que se comparte con las estrategias legítimas de marketing.
- Utilizar una solución de seguridad digital que ayude a detectar y bloquear sitios maliciosos
“Si por descuido ingresas a un enlace de phishing, desde ESET elaboramos una guía de pasos a seguir cuando se tienen sospechas de haber sido víctima: 10 pasos a seguir tras hacer clic en un enlace de phishing.”, concluye Gutierrez Amaya.
Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/phishing/alerta-pagina-falsa-jbl-hotsale-blackfriday/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
