Campaña de phishing dirigida a usuarios de banca móvil



Los consumidores en docenas de países fueron atacados, dice Lookout.

Una reciente campaña de phishing que involucra el uso de mensajes SMS para atraer a las víctimas potenciales a revelar sus credenciales de acceso a la cuenta bancaria es la última evidencia del creciente interés de los atacantes en los usuarios de aplicaciones móviles.

Lookout, que rastreó la amenaza, el viernes lo describió como un impacto en los usuarios de dispositivos móviles en docenas de países, incluido Estados Unidos. Entre los destinatarios se encontraban clientes de los bancos Chase, HSBC, TD, Scotiabank y CIBC. La campaña parece haber comenzado en junio de 2019, pero actualmente está fuera de línea.

El proveedor de seguridad móvil dijo que detectó al menos 4,000 direcciones IP únicas perteneciente a usuarios móviles que parecen haber caído en la estafa. Lookout dijo que no está seguro de cómo las víctimas se vieron afectadas financieramente debido a la falta de visibilidad sobre cómo los atacantes podrían haber utilizado las credenciales comprometidas.

Pero campañas como estas son una advertencia clara para los usuarios de dispositivos móviles, dice Apurva Kumar, ingeniero de inteligencia de seguridad del personal en Lookout. «El phishing móvil está en aumento», dice Kumar. «El ataque se centró completamente en los dispositivos móviles, desde la entrega de mensajes por SMS hasta la representación de los sitios de phishing como inicios de sesión de banca móvil».

Para los malos actores, el phishing móvil es un vector de ataque atractivo porque a menudo es más fácil ofuscar los detalles de una estafa en el issue de forma móvil, dice ella. Con el uso cada vez mayor de la autenticación multifactor para iniciar sesión en muchas aplicaciones, los consumidores se han acostumbrado a que los bancos se comuniquen con ellos por SMS y, por lo tanto, es menos possible que analicen los mensajes tan cuidadosamente como deberían.

Los dispositivos móviles también son objetivos atractivos debido a la cantidad de datos confidenciales que contienen, dice Kumar. «Muchos usuarios finales aún desconocen que el phishing móvil existe o es incluso un riesgo, a pesar de que pueden desconfiar de los ataques de phishing por correo electrónico», dice.

Las aplicaciones móviles maliciosas que se hacen pasar por aplicaciones legítimas son otro problema creciente para los consumidores, especialmente para aquellos que usan dispositivos Android. En un informe reciente, Upstream dijo que había identificado unas 98,000 aplicaciones maliciosas de Android y unos 43 millones de teléfonos inteligentes y tabletas Android infectadas en 2019. En la mayoría de los casos, las aplicaciones móviles maliciosas se estaban utilizando para perpetuar el fraude publicitario en una escala masiva y international. Y preocupantemente, Upstream descubrió que el 32% de las aplicaciones maliciosas más activas que bloqueó el año pasado estaban disponibles a través de la tienda oficial de aplicaciones móviles de Google.

Ataque de rociar y orar
Según Lookout, los mensajes SMS utilizados en la reciente campaña de phishing falsificaron las páginas de inicio de sesión de varios bancos en un esfuerzo por capturar credenciales y otra información confidencial, como respuestas a preguntas de seguridad para verificar la identidad del usuario.

Los actores de la amenaza utilizaron una herramienta de SMS automatizada para crear mensajes únicos de phishing para clientes de diferentes bancos y luego enviaron el mensaje en gran volumen. Lookout dijo que identificó más de 200 páginas de phishing que imitaban las páginas de inicio de sesión bancarias que se utilizaron en la campaña.

«Este es un ataque de suplantación de identidad (phishing) por números, lanzando tantos mensajes como sea posible en un esfuerzo por obtener incluso una respuesta del 1%», dice Kumar. Fue un envío masivo de mensajes de texto no dirigidos a usuarios móviles con la esperanza de convencer a un pequeño porcentaje de los destinatarios para que ingresen sus credenciales, señala.

Lookout no ha podido identificar al actor de la amenaza detrás de la campaña, pero no hay nada que sugiera que era necesariamente un grupo sofisticado considerando que fue lanzado desde un kit de phishing comercial. «Podría ser literalmente cualquier persona, en cualquier lugar, lo que representa el riesgo de que estos kits se vendan en la internet», dice Kumar.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más strategies





Enlace a la noticia unique