Hemos observado un aumento en las campañas conducidas a través de Google que dirigen a avisos falsos. Los delincuentes han perfeccionado sus capacidades para eludir la detección y eliminación de sus acciones. Esta evolución plantea una amenaza tangible para usuarios que podrían verse comprometidos a través de anuncios fake, que conducirán a la implantación de malware para robar credenciales de acceso a plataformas, apps, homebanking e instalar ransomware. Los delincuentes están utilizando distintos argumentos, marcas y productos, por ejemplo: Notepad++, un conocido editor de texto para Windows, así como otros productos de software similares y conversores de PDF.
¿Cómo funciona la modalidad?
En una primera etapa, cuando el usuario hace click en uno de estos anuncios, es probable que se realice una verificación de la dirección IP para descartar las conexiones VPN y otras direcciones no genuinas. En su lugar, se muestra un sitio web apócrifo. Sin embargo, los usuarios verán una réplica del sitio web legítimo de Notepad++. Luego, al hacer click en el enlace de descarga, se ejecuta un código JavaScript que recopila la configuración del sistema operativo, y, si algo falla, el usuario es redirigido al sitio web auténtico de Notepad++. A cada posible víctima se le asigna una identificación única, lo que les permite descargar la carga dañina.
Existe un aumento tanto en el volumen como en la sofisticación de estas campañas de publicidad de difusión de avisos falsos en los últimos meses. Las organizaciones de delincuentes han logrado aplicar con éxito técnicas de evasión que les permiten eludir los controles de verificación de anuncios y dirigirse a víctimas específicas.
Esto ocurre en consonancia con las recurrentes campañas dirigidas a usuarios y bancos, empleando también a Google como vehículo para redirigir a los usuarios y estafarlos.
El uso y costumbre ha establecido que para acceder al homebanking las personas suelen buscarlo en Google por su nombre, en lugar de ingresar su URL completa en la barra de direcciones. Un comportamiento humano común es abrir un navegador y hacer una búsqueda rápida para llegar al sitio web que desea sin ingresar su URL completa. Por lo general, un usuario hará click a ciegas en el primer link devuelto, en el primer renglón de la primera página. Los ciberdelincuentes clonan los sitios web de homebanking hasta el más mínimo detalle y con habilidades casi artísticas: colores, tipo de letra, imágenes, animación, etc. Los usuarios creen estar ingresando a la original y entregan su USUARIO, PASSWORD y TOKEN que del otro lado de la pantalla es capturado, y con el empleo de herramientas automáticas, son utilizados para estafar con las credenciales REALES del usuario denominado ahora víctima y vaciar sus cuentas.
Las plataformas tienen una postura “reactiva” hacia el contenido engañoso y fraudulento. Estas empresas gastan millones en inteligencia artificial para predecir y detectar el engaño, pero el crecimiento del ciberdelito hace que cada vez sea más complejo su eliminación. Es necesario aceptar que los enormes volúmenes de datos y transacciones generados diariamente explican el porqué de la eficacia de estrategia de los estafadores, que van modificando permanentemente la denominación y ubicación de estos sitios clones para evitar ser identificados.
