Nuevo esquema de fraude de pago por adelantado usando criptomonedas

Recomendados:  Atención pública al ciudadano: hacia una relación de 360 grados Evento Identificación de ataques web Leer

El equipo de investigación de Proofpoint ha identificado un nuevo esquema de fraude de pago por adelantado compuesto por campañas de correo electrónico de bajo volumen en las que se emplean tácticas de ingeniería social para estafar a las ingenuas víctimas mediante el uso de bitcoins. Estas campañas se caracterizan por ser mucho más sofisticadas desde el punto de vista técnico, contando con un sistema totalmente automatizado, y que requieren además una importante interacción con la víctima. Otro aspecto a tener en cuenta en este caso es el uso de criptomonedas, lo cual es indicativo de que los ciberdelincuentes se fijan en personas que manejan monederos bitcoin con cierta soltura.

Todo empieza con un correo electrónico pensado para llamar la atención del destinario, por ejemplo, prometiendo una cantidad sustanciosa de dinero: unos 28,85 bitcoins o, al cambio, 1.350.119 dólares, según se puede leer en uno de los emails analizados. Estas campañas por correo electrónico, detectadas por primera vez en mayo de este año y con una versión más reciente el pasado julio, no se dirigen a ningún sector o país en concreto, sino que se envían a entre decenas y cientos de destinatarios en todo el mundo. De acuerdo a la investigación, en una misma campaña las víctimas recibían iguales credenciales (ID de usuario y contraseña).

Una vez atraída la víctima, y habiendo iniciado esta la sesión en la web indicada, se le solicita un cambio de contraseña, dando así una falsa sensación de legitimidad y protección de dicha cuenta mediante la autenticación multifactor. Para tranquilizar todavía más a ese usuario que de por sí parte con conocimientos técnicos, se le hace saber que la única forma de ponerse en contacto con el servicio de asistencia es a través de la mensajería interna de la cuenta, que el propietario anterior de la misma no tiene ahora control sobre ella, así como que la plataforma es completamente anónima y nunca almacena la dirección IP.

En la plataforma, se muestran asimismo algunos movimientos con bitcoins, lo que puede interpretarse como que la cuenta es funcional, y se solicita hacer una primera transferencia para garantizar que todo funciona dentro de lo esperado. Y así sucede al cabo de unos 40 minutos, incluyendo actualizaciones en tiempo real. Por desgracia, la víctima se da cuenta de la estada cuando quiere retirar los bitcoins, y la plataforma le recuerda la cantidad mínima de bitcoins especificada en el momento de crear la cuenta. Esa transferencia final no funcionaría, de acuerdo el análisis de Proofpoint, restando del monedero de la víctima una cantidad insignificante de bitcoins, en comparación con el supuesto saldo de la cuenta, pero cuyo valor real sería de unos 1.400 dólares menos.  

“Las estafas de pago por adelantado son amenazas apenas notables, pero de gran volumen, que tienen en cuenta escenarios elaborados y algo inverosímiles. En este caso, sin embargo, se trata de campañas bien pensadas que van mucho más allá del correo electrónico”, describe Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. “Es una evolución de los fraudes BEC en la que se aprovecha el uso de criptomonedas para el anonimato, algo que comúnmente se asocia al ransomware y a la infraestructura web. Todo ello hace que esta amenaza destaque entre un sinfín de intentos de fraude de lo más obvio y escaso esfuerzo”.

Los investigadores de Proofpoint prevén que los ciberdelincuentes sigan con esta actividad y evolucionen sus tácticas en futuras campañas a fin de aumentar su tasa de éxito.