La empresa multinacional de envíos UPS está alertando a los clientes canadienses que parte de su información personal podría haber sido expuesta a través de sus herramientas de búsqueda de paquetes en línea y abusada en ataques de phishing.
A primera vista, las cartas enviadas por UPS Canadá, tituladas «Lucha contra el phishing y el smishing: una actualización de UPS», parecen ser una advertencia a los clientes sobre los peligros del phishing.
Sin embargo, resulta que en realidad se trata de una notificación de violación de datos, con la empresa filtrando una divulgación que indica que ha estado recibiendo informes de mensajes SMS de phishing que contienen los nombres de los destinatarios y la información de la dirección.
“UPS sabe que algunos destinatarios de paquetes han recibido mensajes de texto fraudulentos que exigen el pago antes de que se pueda entregar un paquete”, dijo UPS en una carta compartida por el analista de amenazas de Emsisoft, Brett Callow.
«Las notificaciones de infracciones deben ser absolutamente claras sobre lo que son desde el principio. Eliminarlas no ayuda a nadie y simplemente aumenta las posibilidades de que se coloquen en la basura sin leer», dijo Callow a BleepingComputer.
Después de recibir los informes de phishing, UPS trabajó con socios dentro de la cadena de entrega para comprender el método utilizado por los actores de amenazas para recopilar la información de envío de sus objetivos.
Luego de una revisión interna, UPS descubrió que los atacantes detrás de esta campaña continua de phishing por SMS estaban usando sus herramientas de búsqueda de paquetes para acceder a los detalles de la entrega, incluida la información de contacto personal de los destinatarios, entre febrero de 2022 y abril de 2023.
La compañía ahora ha implementado medidas diseñadas para restringir el acceso a estos datos confidenciales para frustrar estos convincentes intentos de phishing.
UPS dice que está notificando a las personas cuya información puede haber sido afectada para garantizar la transparencia y el conocimiento de la situación.
“La información disponible a través de las herramientas de búsqueda de paquetes incluía el nombre del destinatario, la dirección de envío y, potencialmente, el número de teléfono y el número de pedido”, dijo UPS.
«No podemos proporcionarle el período de tiempo exacto en que ocurrió el uso indebido de nuestras herramientas de búsqueda de paquetes. Es posible que haya afectado los paquetes de un pequeño grupo de transportistas y algunos de sus clientes desde el 1 de febrero de 2022 hasta el 24 de abril de 2023».
Los clientes de UPS en todo el mundo se han visto afectados por estos ataques de phishing, como lo muestran los informes en línea que muestran a los actores de amenazas usando sus nombres, números de teléfono y códigos postales , así como información sobre pedidos recientes.
De acuerdo con numerosos mensajes de texto maliciosos vistos por BleepingComputer y que se cree que se enviaron durante esta campaña, los actores de amenazas se hacen pasar por envíos de LEGO y Apple , y es probable que otras compañías también se vean afectadas.
Un portavoz de UPS no hizo comentarios de inmediato cuando BleepingComputer se puso en contacto con ellos el día de hoy con respecto a la cantidad de clientes afectados y qué otros transportistas se hicieron pasar por los ataques.
En septiembre y julio , el Servicio de Impuestos Internos (IRS) y la Comisión Federal de Comunicaciones (FCC) advirtieron a los estadounidenses sobre un aumento masivo de los ataques de phishing por SMS.
Las dos agencias federales les pidieron tener cuidado con los mensajes de texto provenientes de números desconocidos con enlaces sospechosos y que a menudo contienen información engañosa e incompleta.
Para defenderse de tales ataques, nunca debe hacer clic en enlaces incrustados en mensajes sospechosos ni responder con información confidencial.
Fuente y redacción: bleepingcomputer.com
