Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report del Q4 de 2021. Con el aumento de los casos de COVID y la temporada compras, DHL puso fin al largo reinado de Microsoft como la firma más frecuentemente imitada. Las redes sociales consolidan su posición entre los tres sectores más suplantados, ya que WhatsApp y LinkedIn ocupan los primeros puestos en la lista de las 10 marcas más plagiadas.
Por primera vez, el 23% de todos los intentos de phishing de marcas estaban relacionados con la compañía global de logística y envíos DHL, frente a sólo el 9% en el tercer trimestre, ya que los ciberdelincuentes trataron de aprovecharse de los vulnerables consumidores online durante el periodo de mayor actividad comercial del año. Microsoft, que volvió a encabezar la clasificación en el Q3 (29% de todos los intentos de phishing), sólo representó el 20% de las estafas en el último trimestre del año. FedEx también apareció en el ranking por primera vez en el Q4 de 2021, sin duda como resultado de que los atacantes quisieran dirigirse a los usuarios online en el período previo a las navidades, ya que la pandemia seguía siendo una preocupación clave.
Emmanuel Ruiz, Country Manager de Check Point Software para México, explica: ‘Es importante recordar que los ciberdelincuentes son ante todo oportunistas. En sus intentos por robar los datos personales o desplegar malware en los equipos de los usuarios, los grupos criminales a menudo se aprovechan de las tendencias de los consumidores imitando las marcas populares. Este trimestre, por primera vez, hemos visto que la empresa de logística global DHL encabeza la clasificación, presumiblemente para capitalizar el creciente número de nuevos compradores online’.
El informe también refuerza una tendencia emergente, las redes sociales parecen consolidar su posición entre los tres principales sectores imitados en los intentos de phishing. Mientras que Facebook ha salido del ranking de las diez marcas con mayor probabilidad de ser suplantadas, WhatsApp ha pasado de la 6ª posición a la 3ª, representando ahora el 11% de todos los casos. LinkedIn ha pasado de la 8ª posición a la 5ª, representando ahora el 8% de todos los ataques relacionados con el phishing.
Ruiz agrega: ‘El cuarto trimestre también ha confirmado lo que muchos esperábamos: las RRSS seguirán siendo el blanco de los ciberdelincuentes que buscan aprovecharse de aquellos que se apoyan más en canales como WhatsApp, Facebook y LinkedIn como resultado del teletrabajo. Desgraciadamente, las marcas como DHL, Microsoft y WhatsApp -que representan las tres marcas más imitadas en el Q4- no pueden hacer mucho para combatir los intentos de phishing. Es fácil pasar por alto detalles como dominios mal escritos, errores tipográficos o fechas incorrectas, y eso es lo que abre la puerta a más daños. Instamos a todos los usuarios a tener muy en cuenta estos detalles cuando traten con empresas como DHL en los próximos meses’.
En un ataque de phishing de marca, los ciberdelincuentes intentan imitar la página web oficial de una marca conocida utilizando un nombre de dominio o una URL y un diseño de página web similares a los del sitio auténtico. El enlace a la web falsa puede ser enviado a las personas objetivo por correo electrónico o mensaje de texto, un usuario puede ser redirigido durante la navegación web, o puede ser activado desde una aplicación móvil fraudulenta. Este espacio suele contener un formulario destinado a robar las credenciales, los datos de pago u otra información personal de los usuarios.
Top phishing por marcas en el cuarto trimestre de 2021
- DHL (relacionado con el 23% de todos los intentos de phishing de marcas a nivel mundial)
- Microsoft (20%)
- WhatsApp (11%)
- Google (10%)
- LinkedIn (8%)
- Amazon (4%)
- FedEx (3%)
- Roblox (3%)
- Paypal (2%)
- Apple (2%)
Ejemplo de email de phishing de PayPal: robo de cuentas
Durante los días de ofertas de noviembre, observamos un correo electrónico de phishing malicioso que supuestamente había sido enviado por PayPal y que intentaba robar la información de crédito de los usuarios. El mensaje, que se envió desde la dirección falsa de PayPal Service (service@ec2-18-156-114-201[.]eu-central-1[.]compute[.]amazonaws[.]com), fue enviado en realidad por admin_emotion_dev@emotionstudios[. ]rocks, contenía el asunto de ingeniería social «[Alerta] Confirme su cuenta PayPal (ID de caso #XX XXXXXXXX)» que podía presionar a la víctima para que hiciera clic en el enlace malicioso (https://serviiceds[.]ritaspizzaportsmouth[.]com/llpy/).
La página web redirige al usuario a una fraudulenta página de inicio de sesión de PayPal que se parece al sitio real (véase la figura 2) con algunas pequeñas diferencias de aspecto. En el enlace malicioso, el usuario debía introducir los datos de su cuenta PayPal.
Ejemplo phishing de Fedex – Malware adjunto
Durante el mes de diciembre, observamos un email de phishing malicioso que utilizaba la firma de Fedex e intentaba que el usuario descargara el malware SnakeKeylogger en sus equipos. El correo electrónico (véase la figura 1) que se envió desde la dirección falsa support@fedex[.]com, contenía el asunto «Bill of Lading-PL/CI/BL-Documents arrival». El contenido solicita la descarga de un archivo RAR «shipment docu.rar», que contiene un archivo ejecutable malicioso que provocaría la infección del sistema con SnakeKeylogger y podría robar la información de las credenciales del usuario.
Correo electrónico de phishing de DHL – Ejemplo de robo de credenciales
En este correo electrónico de phishing, vemos un intento de robar el email y la contraseña de los usuarios. Fue enviado desde la dirección falsa de Atención al Cliente de DHL (info@emmc[.]ir), y contenía el asunto «DHL Shipment Notification: xxxxxxxxxx «Out for delivery» for 15 Dec 21″.
El atacante intentaba atraer a la víctima para que hiciera clic en un enlace malicioso (http://reg[.]chaindaohang[.]com/wpcontent/uploads/2021/07/dhl/index[.]php?i=i&0=vegenat@vegenat[.]es) que redirigía al internauta a una página de inicio fraudulenta de DHL, que se parecía al sitio web real (véase la figura 2). En el enlace malicioso, se pedía al usuario que introdujera su email y su contraseña.
Una de las mejores formas de protección ante estas amenazas es la cautela a la hora de divulgar datos personales y credenciales a aplicaciones o páginas web empresariales, y a pensárselo dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente de empresas como DHL, Microsoft o WhatsApp, ya que son los más propensos a ser suplantados.