Saltar al contenido

La oficina de correos es el nuevo objetivo principal de los ataques de phishing de entrega de paquetes en el Reino Unido

La oficina de correos es el nuevo objetivo principal de los ataques de phishing de entrega de paquetes en el Reino Unido

La pandemia de coronavirus provocó el cierre de muchas tiendas minoristas físicas, lo que obligó a los consumidores del Reino Unido a comprar en línea más que nunca. A pesar de muchas tiendas, esta tendencia ha continuado en gran medida desde la reapertura, ya que millones de consumidores se han acostumbrado a los beneficios prácticos de las compras en línea.

Junto con este mayor volumen de compras en línea vino una nueva tendencia de ataques de phishing, en los que los ciberdelincuentes se hacen pasar por repartidores de paquetes para robar información financiera de sus víctimas. Royal Mail y Hermes eran objetivos populares para este tipo de ataque, pero los ataques más recientes ahora se hacen pasar por oficinas de correos.

Un mensaje de texto que atrae a las víctimas a un sitio de phishing de la oficina de correos.

Un mensaje de texto típico que se utiliza para atraer a las víctimas a un sitio de phishing que se hace pasar por una oficina de correos.

Estos ataques generalmente se propagan a través de SMS para informar a la víctima que se perdió una entrega. A veces, los mensajes dicen de antemano que el destinatario tendrá que volver a reservar la entrega por un pequeño recargo. El recargo relativamente pequeño suele ser suficiente para hacer que las víctimas crean que el sitio de phishing es legítimo, o al menos tiene un riesgo mínimo, lo que permite al phisher hacerse con los datos de la víctima y potencialmente robar una cantidad mucho mayor.

Dado que la mayoría de los ataques se organizan a través de mensajes de texto, los sitios de phishing generalmente se alojan con nombres de dominio personalizados que incluyen el nombre de la empresa objetivo para persuadir. Algunos ejemplos son:

  • myhermes-youritem.com
  • umplanen-postoffice.com
  • royalmail-customer.com
  • dpd.delivery.150227811923.com

En cambio, algunos mensajes usan acortadores de URL genéricos para dirigir a las víctimas a los sitios de phishing, pero esto no necesariamente sería visto como sospechoso por todos los destinatarios, ya que es común usar acortadores de URL incluso en mensajes de texto legítimos.

La mayoría de los kits de phishing utilizados en estos ataques también intentan evadir la detección mediante el bloqueo de clientes no deseados, como bots y organizaciones anti-phishing, pero Netcraft evita estos análisis con éxito.

GIF animado de un sitio de phishing de Hermes que se está buscando.

Navegue por un sitio de phishing simple de Hermes optimizado para dispositivos móviles. La víctima es redirigida al sitio web real de Hermes después de que sus datos son robados.

Después de que algunos de estos ataques de phishing se hacen pasar por empresas de entrega, también se hacen pasar por uno de los varios bancos del Reino Unido. Esto le da al delincuente la oportunidad de robar credenciales adicionales específicas para cada banco, como:

Algunos ataques, especialmente aquellos que no usan el sitio de phishing para hacerse pasar directamente por el banco de la víctima, son seguidos por una llamada telefónica del ciberdelincuente que utiliza la información robada del sitio de phishing para convencer a la víctima de que es una llamada real de su banco con respecto al pago que acaba de realizar. Esto proporciona una forma más interactiva para que el delincuente obtenga la información que necesita para acceder a la cuenta bancaria de la víctima, incluidos los códigos OTP sensibles al tiempo.

Ataque de muestra

La mayoría de estos ataques siguen el mismo patrón. Usando el ejemplo de un kit de phishing de Hermes, la víctima debe ingresar su código postal para ver el estado de seguimiento de su paquete. Cuando la víctima haga clic en Ver detalles completos de seguimiento, se le pedirá su nombre, fecha de nacimiento y dirección.

Un sitio de phishing de Hermes.

Este sitio de phishing de Hermes se alojó en entrega de hermes-track. antes de perder peso.

Después de enviar esta información, el sitio de phishing indicará que se debe pagar una tarifa de reenvío de £ 1.45 y le pedirá a la víctima que proporcione los detalles de su tarjeta (nombre del titular de la tarjeta, número de tarjeta, fecha de vencimiento, CVV), número de cuenta bancaria y. para especificar el código de clasificación.

Estas credenciales robadas generalmente se envían por correo electrónico al phisher y algunas también se almacenan en un archivo de texto en el sitio de phishing. Algunos kits también transfieren las credenciales robadas a un sitio web remoto, también conocido como «sitio de entrega».

El número de ruta del banco de la víctima o el número de tarjeta se usa a menudo para determinar automáticamente qué banco está usando la víctima. El nombre y el logotipo del banco identificado se muestran junto con un formulario, cuyos campos dependen del banco seleccionado. Por ejemplo, si la víctima es un cliente de Metro Bank, el formulario solicitará su número de cliente o nombre de usuario, contraseña y número de seguridad.

Después de que esta información adicional se envíe por correo electrónico y se registre, se le informará a la víctima que la entrega del paquete se programó correctamente, pero en realidad la víctima probablemente solo recibirá las malas noticias de que sus cuentas se han visto comprometidas.

Mayor efectividad

Estos ataques pueden ser sorprendentemente efectivos porque cuando un consumidor realiza una compra en línea, no siempre está claro quién es el responsable de la entrega. Este también puede ser el caso de pedidos repetidos de la misma empresa; por ejemplo, Amazon UK utiliza varias compañías de envío diferentes, pero no permite que el cliente elija cuál usar, ni indica cuál se usará en el momento de la compra. .

Entonces, si el cliente recibe un SMS no solicitado sobre un paquete que no se pudo entregar, cualquier víctima que haya realizado recientemente un pedido en línea podría verlo fácilmente como un SMS esperado y caer en el ataque, independientemente de la compañía de paquetes que se haga pasar por el sitio de phishing.

De hecho, Amazon es tan popular en este momento que algunos sitios de phishing de entrega de paquetes asumen que la víctima compró algo recientemente en Amazon. Esto probablemente aumentará la tasa de éxito de los ataques contra las víctimas que en realidad son compradores habituales de Amazon.

Un sitio de phishing de Hermes que contiene el logotipo de Amazon y apunta a un paquete de Amazon.

Este sitio de phishing de Hermes se refiere explícitamente a un paquete de Amazon y contiene el logotipo de Amazon.

La tarifa de devolución relativamente baja requerida en estos ataques también sirve para reducir la sospecha y aumentar la probabilidad de robar la tarjeta de pago de la víctima o la información de la cuenta bancaria. La identificación automática del banco de la víctima y el correspondiente cambio de identidad, sin preguntar nunca explícitamente a la víctima qué banco está utilizando, también aumenta la probabilidad de que se roben las credenciales bancarias en línea.

Los delincuentes eligen nuevas marcas para fingir ser

El número de estafas de entrega de paquetes aumentó notablemente en la segunda mitad del año pasado y el volumen sigue siendo muy alto en la actualidad, pero entre bastidores, los ciberdelincuentes han refinado continuamente sus tácticas y han seleccionado marcas que son más vulnerables a los ataques.

Royal Mail experimentó una pequeña ola de ataques por primera vez en julio de 2020, seguida de un aumento mucho mayor en los ataques de phishing que se hacen pasar por DPD a fin de año. En febrero de 2021, Royal Mail volvió a ser la marca más imitada, pero esto disminuyó rápidamente cuando los delincuentes pasaron a hacerse pasar por la empresa de mensajería Hermes.

Gráfico que muestra el aumento del fraude en la entrega de paquetes durante la pandemia.

El auge y la caída del fraude en la entrega de paquetes. Los ataques contra DPD continuaron durante todo el año, mientras que Swiss Post se convirtió rápidamente en el último objetivo principal.

Solo unos meses después, los ataques de Hermes disminuyeron a medida que los delincuentes cambiaron su comportamiento y, en cambio, lanzaron oleadas crecientes de ataques de phishing disfrazados de correo. Desde entonces, esta se ha convertido en la marca más imitada, lo que sugiere que la publicación es ahora el nuevo objetivo fácil.

Swiss Post no entrega paquetes, pero ofrece servicios postales en nombre de Royal Mail y Parcelforce. Estos servicios se utilizan normalmente para enviar correo y paquetes, pero los paquetes que no se pueden entregar a un consumidor se pueden dejar para que se recojan en una oficina de correos cercana.

Además, muchos consumidores todavía creen que Royal Mail y The Post son esencialmente la misma empresa, a pesar de que las dos organizaciones son independientes desde 2012.

Los consumidores pueden protegerse de este tipo de ataque de phishing instalando las aplicaciones móviles de Netcraft, y los propietarios de marcas pueden utilizar el servicio de eliminación y contramedidas de Netcraft para cerrar los sitios de phishing.

Source link