Desde junio de 2022, se lleva a cabo una campaña generalizada de suplantación de identidad de marca dirigida a más de cien marcas populares de indumentaria, calzado y ropa, que engaña a las personas para que ingresen sus credenciales de cuenta e información financiera en sitios web falsos.
Las marcas suplantadas por los sitios falsos incluyen Nike, Puma, Asics, Vans, Adidas, Columbia, Superdry Converse, Casio, Timberland, Salomon, Crocs, Sketchers, The North Face, UGG, Guess, Caterpillar, New Balance, Fila, Doc Martens , Reebok, Tommy Hilfiger y otros.
Según el equipo de investigación de amenazas de Bolster, que descubrió la campaña, se basa en al menos 3000 dominios y aproximadamente 6000 sitios, incluidos los inactivos.
Bolster informa que la campaña tuvo un pico de actividad significativo entre enero y febrero de 2023, agregando 300 nuevos sitios falsos mensualmente.
Los nombres de dominio siguen un patrón de uso de la marca junto con una ciudad o país, seguido de un TLD genérico como «.com».
Los investigadores dicen que la campaña operó sobre diez sitios web falsos de Nike, Puma y Clarks, con un diseño muy similar a los sitios oficiales de las marcas.
Estos dominios fraudulentos se rastrearon hasta el sistema autónomo número AS48950 y fueron alojados por dos proveedores de servicios de Internet, Packet Exchange Limited y Global Colocation Limited.
La mayoría están registrados a través de Alibaba.com Singapur, y la edad del dominio oscila entre dos años y 90 días.
El envejecimiento del dominio es un factor crucial en las operaciones de phishing, ya que cuanto más tiempo permanezca vivo un dominio pero siga siendo inocuo, es menos probable que las herramientas de seguridad lo marquen como sospechoso.
Dejar que un dominio envejezca durante al menos dos años es algo que Confiant informó el año pasado, observando la táctica en una campaña global de publicidad maliciosa que la ha estado usando con éxito desde 2018.
En la campaña descubierta por Bolster , muchos de los dominios maliciosos sobrevivieron tanto tiempo sin ser informados que la Búsqueda de Google los indexó y ahora es probable que obtengan una clasificación alta para términos de búsqueda específicos.
Esta es una estrategia particularmente efectiva para atraer a usuarios desprevenidos a visitar un sitio de phishing, ya que la mayoría de las personas asocian una clasificación alta en la Búsqueda de Google con credibilidad y confiabilidad.
BleepingComputer navegó por las páginas de algunos de estos sitios y descubrió que no son clones construidos apresuradamente, ya que presentan páginas realistas de «Acerca de nosotros», incluyen detalles de contacto, las páginas de pedidos funcionan como se esperaba y, en general, son difíciles de identificar como sospechosas.
Se desconoce la estrategia de estafa exacta seguida en esta campaña, pero Bolster sugiere que los sitios nunca envían los productos que los clientes pagan o envían imitaciones chinas.
Además, cualquier detalle ingresado en las páginas de pago, en particular los detalles de la tarjeta de crédito, puede ser almacenado por los operadores del sitio web y revendido a los ciberdelincuentes.
Cuando busque el sitio web oficial de una marca, omita todos los resultados promocionados en la Búsqueda de Google. Si aún no está seguro, consulte la página de Wikipedia de la marca o los canales de redes sociales para obtener la URL legítima.
Fuente y redacción: segu-info.com.ar
