Alguien que dice ser Kohl’s realmente quiere comprarme un hermoso horno holandés Le Creuset naranja.

El correo electrónico siempre dice que este es el segundo intento de la cadena de tiendas por departamentos de comunicarse conmigo, aunque supongo que está más cerca del 50, ya que he recibido este correo electrónico muchas, muchas veces en los últimos meses. Probablemente tú también lo hayas hecho. Tal vez no sea de Kohl. Tal vez sea Dick’s Sporting Goods o Costco. Sea quien sea, el resultado es el mismo: hace clic en un enlace, completa una especie de encuesta y se le pide que ingrese la información de su tarjeta de crédito para ayudar a cubrir el costo de envío de su enfriador Yeti gratuito, Samsung Smart TV. o el horno holandés de Le Creuset.

Un ejemplo de un correo electrónico de phishing que pretende ser de Kohl's.  Cuenta con una variedad de utensilios de cocina Le Creuset y dice 'Responda y gane un Le Creuset nuevo'.  Empieza ahora.  ¡Felicidades!

Alerta de spoiler: no hay un «premio fantástico» esperándote al otro lado de este correo electrónico fraudulento.

Por supuesto, estos artículos nunca llegarán. Todos estos correos electrónicos son estafas de phishing o correos electrónicos que pretenden ser de una persona o marca que conoce y en la que confía para obtener información de usted. En este caso es su número de tarjeta de crédito. Esta última campaña es particularmente buena para eludir los filtros de spam. Esta puede ser la razón por la que ha notado tantos de estos correos electrónicos en su bandeja de entrada en los últimos meses. El hecho de que llegaron a su bandeja de entrada en primer lugar, así como la descripción realista de los correos electrónicos y los sitios web a los que se vinculan, los hacen más convincentes que el típico correo electrónico fraudulento. Estos ataques también tienden a aumentar durante la temporada navideña. Así que esto es lo que debe tener en cuenta.

«Grinch está dando dinero a las empresas de seguridad y bloqueando IPs para Navidad, lo que resulta en más spam de arquitectura de salto de dominio que llega a sus bandejas de entrada», dijo Zach Edwards, un investigador de seguridad, a Recode. La arquitectura de salto de dominio es un conjunto de redireccionamientos que enrutan el tráfico de usuarios a través de múltiples dominios para ayudar a los estafadores a ocultar sus pistas y detectar y bloquear posibles medidas de seguridad.

Akamai Security Research identificó la campaña de fraude en un informe reciente. La idea básica detrás de la estafa en sí, hacerse pasar por una marca conocida y ofrecer un precio a cambio de cierta información personal, no es nueva. Akamai ha estado rastreando este tipo de actividad durante algún tiempo. Pero la versión de este año es nueva y mejorada.

«Esto refleja la comprensión del atacante sobre cómo funcionan los productos de seguridad y cómo usarlos para su beneficio», dijo Or Katz, investigador sénior de seguridad de Akamai.

Un ejemplo de un correo electrónico fraudulento que pretende ser de Costco.  Muestra a una mujer en una postura de yoga frente a un televisor de pantalla grande y dice:

Lo siento, pero tienes que comprar un televisor Samsung de Costco como todos los demás. Esta encuesta solo intenta robar la información de su tarjeta de crédito.

Básicamente, estos estafadores usan muchos trucos técnicos para eludir los escáneres y atravesar los filtros de spam en segundo plano. Esto incluye (pero no se limita a) enrutar el tráfico a través de una combinación de servicios legítimos como Amazon Web Services, que es la URL a la que parecen vincularse varios de los correos electrónicos fraudulentos que he recibido. Y según Edwards, los atacantes pueden identificar y bloquear las direcciones IP de herramientas conocidas de detección de fraude y spam, lo que también les ayuda a eludir esas herramientas.

Akamai dijo que la campaña de este año también presentó un uso novedoso de identificadores de fragmentos. Los ve como una serie de letras y números después de un carácter hash en una URL. Por lo general, se usan para enviar a los lectores a una sección específica de un sitio web, pero los estafadores los usaron para enviar a las víctimas a sitios web completamente diferentes. Y algunos servicios de detección de fraude no escanean o no pueden escanear identificadores de fragmentos, lo que les ayuda a evadir la detección, según Katz. Sin embargo, Google le dijo a Recode que este método en particular por sí solo no es suficiente para eludir sus filtros de spam.

«Lo que estamos viendo en este estudio publicado recientemente son técnicas nuevas y sofisticadas que indican la evolución del fraude y reflejan la intención del adversario de hacer que sus ataques sean difíciles de detectar y maliciosos», dijo Katz. «Y como podemos ver, ¡funciona!»

Pero no ves nada de eso. Sólo ves los correos electrónicos. En el mejor de los casos, son una molestia y, en el peor, podrían engañarlo para que proporcione los detalles de su tarjeta de crédito a personas que probablemente usarán esa información para comprar muchas cosas en su factura. El hecho de que estén principalmente en su bandeja de entrada agrega un aire de legitimidad, y tanto estos correos electrónicos como los sitios web que los envían a las víctimas se ven mejor y, por lo tanto, son potencialmente más convincentes que algunas estafas de phishing típicas. Inténtelo. También parecen cambiar según la estación o la época del año. Las muestras de Akamai que recopiló hace semanas tienen un tema de Halloween. Recientes correos electrónicos de phishing dirigen a los usuarios a un sitio web que cuenta con un «especial de Black Friday».

«Las pancartas festivas literales son únicas, por lo que esta es una nueva adición genial», dijo Edwards.

Un ejemplo de un sitio web fraudulento que afirma ofrecer un premio de Dick's Sporting Goods.  Tiene una imagen de un enfriador Yeti y dice:

Dick’s Sporting Goods no regalará un Yeti Cooler incluso si realiza una encuesta.

Y todo se está utilizando en una escala aparentemente masiva, razón por la cual la mayoría de las personas que leen esto probablemente recibieron no solo uno de estos correos electrónicos, sino una avalancha de ellos durante un período de meses.

O, como me dijo uno de mis compañeros de trabajo cuando reenvió un ejemplo de uno de los muchos correos electrónicos fraudulentos que recibió en su bandeja de entrada de Gmail: «Ayuda».

Un portavoz de Google le dijo a Recode que la empresa estaba al tanto de la campaña «particularmente agresiva» y estaba tomando medidas para detenerla.

“Nuestros equipos de seguridad han descubierto que los spammers están utilizando la infraestructura de otra plataforma para encontrar una ruta para estos mensajes abusivos”, dijeron. “Pero mientras las tácticas de los spammers evolucionan, Gmail bloquea activamente la mayor parte de esta actividad. Estamos en contacto con el otro proveedor de la plataforma para abordar estas vulnerabilidades y, como siempre, estamos trabajando arduamente para anticiparnos a los ataques”.

Google también publicó recientemente una publicación de blog que advierte a los usuarios sobre estafas comunes durante la temporada navideña, y el obsequio falso encabezó la lista.

«¿Tienes una oferta que parece demasiado buena para ser verdad? Piénselo dos veces antes de hacer clic en cualquier enlace”, escribió Nelson Bradley, gerente de confianza y seguridad de Google Workspace.

Google también descubrió que bloquea 15 mil millones de correos electrónicos no deseados todos los días, lo que cree que representa el 99.9 por ciento de los correos electrónicos no deseados, de phishing y de malware que envían sus usuarios. Bradley dijo que ha habido un aumento del 10 por ciento en correos electrónicos maliciosos en las últimas dos semanas. Para ser justos, creo que tengo más correos electrónicos falsos de obsequios de Kohl’s atrapados en mi filtro de correo no deseado que en mi bandeja de entrada.

El portavoz agregó que los usuarios de Gmail pueden usar la herramienta Report Spam, que ayuda a Google a detectar y prevenir mejor los ataques de spam en el futuro. Además, se siguen aplicando los típicos consejos para evitar el phishing. Compruebe la dirección de correo electrónico del remitente y la URL a la que apunta. No proporcione ninguna información personal, especialmente las contraseñas de sus cuentas o números de tarjetas de crédito. Tómese unos segundos para pensar por qué Kohl’s decidiría al azar darle utensilios para hornear Le Creuset o Dick’s le daría cientos de dólares en enfriadores Yeti solo porque respondió algunas preguntas básicas de la encuesta. La respuesta es que no lo harían.

También puede pasar su Black Friday comprando artículos reales de tiendas reales (o sus sitios web reales) y dando los detalles de su tarjeta de crédito a empleados reales. Buena suerte por ahí; El portavoz de Google dijo que la compañía espera que la campaña de estafa «continúe a un ritmo acelerado durante la temporada navideña». Por lo tanto, es casi seguro que continuará incluso después de que termine el Black Friday.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí