Nueva advertencia para compradores web
Actualizado el siete de noviembre con la nueva guía de la agencia gubernativo de ciberseguridad sobre el malware que inficiona campañas de publicidad lícitas on line.
Con “decenas de millones de dólares” robados a “cientos de miles” de usuarios de la web, se termina de producir una seria advertencia para los miles y miles de millones de usuarios de los navegadores web más populares. Google ha eliminado sitios conocidos de los resultados de la búsqueda, mas eso no suprimirá los links en otros lugares, en las redes sociales y las plataformas de correo. Es esencial que todos y cada uno de los usuarios sepan qué buscar. En pocas palabras: no debe emplear estos sitios.
Los estudiosos de Satori de Human Security advierten que los actores de amenazas “dirigieron el tráfico a tiendas web falsas al inficionar sitios lícitos con una carga maliciosa. Esta carga útil crea listados de productos falsos y añade metadatos que ponen estos listados falsos cerca de la cima de las clasificaciones de los buscadores web para los artículos, transformándolos en una oferta atrayente para un consumidor desprevenido. En el momento en que un consumidor hace click en el link del artículo, es redirigido a otro sitio, este controlado por el actor de la amenaza”.
En el propio sitio peligroso, los usuarios serían dirigidos a una plataforma lícita de procesamiento de pagos para adquirir el producto escogido. Ese producto jamás llegaría, evidentemente, mas probablemente se llevarían el dinero. Aunque muchos usuarios pueden estar protegidos del costo financiero final por medio de devoluciones de cargos en tarjetas de crédito, eso jamás está garantizado hasta el momento en que se estudia un reclamo.
En la campaña descubierta más últimamente, los malos actores “infectaron más de mil sitios para crear y fomentar listados de productos falsos y crearon ciento veintiuno tiendas web falsas para mentir a los usuarios… estimando pérdidas de decenas y decenas de millones de dólares americanos en los últimos 5 años, con centenares de miles de dólares”. de usuarios victimizados”.
Entonces, ¿qué puedes buscar para eludir que tu dinero desaparezca en un orificio negro?
- Las ofertas de productos que semejan demasiado buenas para ser verdad por norma general lo son; si se ofrece una baratija bajo las tarifas del mercado, no prosiga salvo que pueda contrastar el lugar.
- Verifique la congruencia entre los nombres de los sitios y los nombres que aparecen en ventanas emergentes, ventanas de procesamiento de pagos y la URL. Esta campaña concreta inficionó sitios lícitos y después los redirigió a otros lugares.
- ¿El proceso de pedido se siente totalmente lícito? ¿Tiene los detalles de la dirección de autocompletar, por poner un ejemplo, comprueba la calidad de los datos que ingresa?
- Si se trata de un sitio que no ha usado ya antes, revise las recensiones cuidadosamente; recuerde que pueden ser falsas y busque recensiones conocidas del lugar.
- ¿Puedes localizar el producto en un sitio conocido, si bien sea más costoso?
Esta campaña, llamada “phish and ship” por el equipo de investigación, incluía una serie de toques sofisticados: metadatos para llegar a la cima de los resultados de la búsqueda, si bien Google ha eliminado aquellos que se sabe que son fraudulentos. Al inficionar sitios lícitos, en un caso así los usuarios en un inicio se dejarían llevar por una falsa sensación de seguridad, mas la redirección a una tienda web falsa es cuando las alarmas deberían empezar a sonar.
Puede localizar una lista de todos y cada uno de los sitios falsos conocidos acá, ciertos cuales continúan activos pese a las amenazas conocidas conforme este último informe.
Cadena de ataque: no te dejes engañar
“Esta operación destaca la relación entre el ecosistema de publicidad digital y el fraude”, asevera Satori. “Sin los listados falsos de productos orgánicos y patrocinados de los actores de amenazas, no habría habido tráfico a las tiendas web falsas y, por consiguiente, no habría fraude. Una conclusión clave de Phish ‘n’ Ships es que la publicidad digital puede ser peligrosa y los usuarios deben tener precaución al hacer click para pasar al siguiente paso en un viaje digital”.
Los usuarios de los primordiales navegadores son víctimas de esta clase de ataques. El equipo de investigación advierte que “Phish ‘n’ Ships prosigue siendo una amenaza activa”, si bien la supresión de Google ha “interrumpido parcialmente” su amenaza. “No es muy probable que los actores de amenazas dejen de trabajar sin procurar localizar una forma nueva de perpetuar su fraude”.
Cuando se trata de resultados de la búsqueda poco fiables que producen peligrosos ataques de phishing, hay otro nuevo y desapacible giro que termina de salir a la luz. Malwarebytes advierte que “una nueva ola de phishing para credenciales bancarias [is] Dirigirse a los usuarios a través del motor de busca de Microsoft. Una consulta de busca en Bing para ‘iniciar sesión en Keybank’ en nuestros días devuelve links maliciosos en la primera página y, en ocasiones, a resultas de busca primordial”.
La participación de Microsoft en las buscas empalidece en comparación con la de Google, si bien del mismo modo que con su campaña en curso para llevar a los usuarios de Google Chrome a Edge, ahora se mete las manos en los bolsillos para hacer lo mismo con Bing, con un nuevo obsequio de 1 millón de dólares americanos.
“Aunque Bing de Microsoft solo tiene alrededor del cuatro% de la cuota de mercado de los motores de búsqueda”, afirma Malwarebytes, “los criminales se sienten atraídos por él como una opción alternativa a Google. Un detalle particularmente interesante es de qué forma un sitio de phishing creado hace apenas un par de semanas ya está indizado y mostrado ya antes que el oficial”.
Esta nueva y peligrosa campaña ha conseguido inflar las señales de busca de sitios nuevos y maliciosos, engañando a los usuarios a fin de que hagan click en los resultados de la búsqueda superiores para palabras clave comunes. “Se muestra un link malicioso como primer resultado y pretende ser la página de comienzo de sesión de Keybank… Los atacantes están abusando de los algoritmos de busca de Bing”.
Los usuarios que hacen click en los links son redirigidos a sitios maliciosos creados para la campaña; esto usa la marca oficial del reclamo para mentir aún más a los usuarios. La pretensión es sencillamente compendiar identidades, credenciales de comienzo de sesión y claves de acceso. Los atacantes aun han encontrado formas de compendiar códigos MFA para facilitar los principios de sesión.
Al igual que con el ataque “Phish and Ships”, esta manipulación de los resultados de la búsqueda desarrollada socialmente, así como engaños tras escena para desplazar el tráfico de sitios lícitos a sitios maliciosos, es meridianamente eficaz y les reporta millones a los atacantes.
La preocupación para los usuarios va a ser el incremento que pronto se espera en la busca basada en IA, que no solo es una amenaza para los buscadores web establecidos sino más bien asimismo para los usuarios que no tienen los mecanismos de defensa en un largo plazo y los ‘sentidos de araña’ para poder ver los ataques que se aproximan. Irónicamente, asimismo terminamos de ver un ataque de phishing que pretende proceder del propio OpenAI, lo que destaca ese nuevo y valiente punto mundial. Cuidado con los compradores.
Se ha emitido otra advertencia grave de fraude en sitios a causa de este informe de los estudiosos de Human’s Satori. La agencia de ciberseguridad del gobierno del R. Unido termina de advertir que “la publicidad digital es esencial para la economía digital y depende de las interactúes entre quienes venden espacios promocionales y quienes los adquieren, de forma frecuente en tiempo real. Mas se puede abusar de esto y producir publicidad maliciosa, que puede incluir malware. Esto puede provocar fraude y minar la confianza en la industria de la publicidad digital”.
En un nuevo aviso que ofrece “orientaciones a fin de que las marcas asistan a los asociados promocionales a contrarrestar la publicidad maliciosa”, el NCSC advierte a las compañías lícitas que las campañas de publicidad digitales pueden exponer a sus clientes del servicio al fraude si las organizaciones que ejecutan esas campañas introducen deliberada o desapercibidamente tecnologías fraudulentas en la mezcla.
“Las organizaciones que asisten a efectuar sus campañas deberían tomar medidas para eludir daños a los usuarios”, afirma. “También quiere tener la seguridad de que los anuncios que aparecen en exactamente los mismos sitios y páginas que el suyo tienen buena reputación y son dignos de confianza. Usted puede respaldar este esmero más extenso demandando servicios efectivos de detección y supresión de publicidad maliciosa en los activos promocionales de un intercesor y en las páginas de destino de los editores. Este es un proceso progresivo, que debe aplicarse ya antes y a lo largo de una campaña publicitaria”.
Al igual que con “Phish and Ships”, donde los sitios de comercio lícitos se inficionan para dar cierta legitimidad a las campañas maliciosas, el peligro en los anuncios digitales es que se usan marcas fiables para disfrazar amenazas y diseñar socialmente una cadena de ataque que atraiga a los usuarios a los pasos iniciales. que en último término conducen al fraude o al hurto de credenciales.
El NCSC afirma que “los anunciantes, los editores y las redes promocionales deberían cooperar para compartir inteligencia sobre amenazas. Al reunir información sobre amenazas emergentes, es posible contestar más veloz a nuevos ataques y eludir de forma proactiva que un ataque que se advierte en una plataforma asimismo aparezca en otras”.
Se trata de la naturaleza en tiempo real de la web y, del mismo modo que con los resultados de la búsqueda manipulados de Bing, los ataques pueden ser bastante difíciles de capturar por el hecho de que aparecen y desaparecen en un momento. Lo que se manipula es el funcionamiento central del propio sistema.
Para cualquier organización que diseñe campañas y adquiera anuncios, la agencia de ciberseguridad insta a que los mediadores promocionales puedan probar los próximos 5 pasos para complicar la labor a los actores de amenazas:
- cómo manejan los servicios de detección y supresión de publicidad maliciosa
- el distribuidor que usan, si lo hay, para advertir y quitar la publicidad maliciosa, y si esto incluye el “encubrimiento”, donde se oculta la naturaleza perjudicial o el destino de un anuncio.
- el alcance de sus activos donde se efectúan el escaneo, la detección y la eliminación
- cómo monitorean cualquier cambio a lo largo del ciclo vital de una campaña publicitaria
- cómo se acentúa e estudia un ataque, si ocurre
“Las organizaciones que asisten a efectuar sus campañas deberían tomar medidas para eludir daños a los usuarios”, afirma la agencia. “Asimismo quiere tener la seguridad de que los anuncios que aparecen en exactamente los mismos sitios y páginas que el suyo tienen buena reputación y son dignos de confianza”.