Proofpoint acaba de identificar un nuevo esquema de fraude de pago por adelantado que está compuesto por campañas de correo electrónico de bajo volumen en la que se hace uso de técnicas de ingeniería social para estafar a sus víctimas mediante el uso de bitcoins. El funcionamiento es muy sencillo. El usuario recibe un email con credenciales de supuestas plataformas de criptomonedas, donde poder invertir y recibir milos de dólares. Como podéis imaginar, eso nunca ocurre.
Una de las principales características de estas estafas, es que se trata de campaña mucho más sofisticadas desde el punto de vista técnico, donde se hace uso de un sistema que cuenta con una importante interacción con la víctima. También es importante el uso de las criptomonedas, ya que se mantiene el anonimato tanto de la víctimas como del estafador.
Estas campañas por correo electrónico, detectadas por primera vez en mayo de este año y con una versión más reciente el pasado julio, no se dirigen a ningún sector o país en concreto, sino que se envían a entre decenas y cientos de destinatarios en todo el mundo. De acuerdo a la investigación, en una misma campaña las víctimas recibían iguales credenciales (ID de usuario y contraseña), ya que al parecer varias personas pueden iniciar sesión con ellas desde una dirección IP y navegador diferentes. Solo al cambiar la contraseña y agregar un número de teléfono en siguientes pasos, la cuenta pasa a ser única de modo que los usuarios no ven la actividad de otras víctimas.
Como así sucede con cualquier estafa de Business Email Compromise (BEC), todo empieza con un correo electrónico pensado para llamar la atención del destinario, por ejemplo, prometiendo una cantidad sustanciosa de dinero: unos 28,85 bitcoins o, al cambio, 1.350.119 dólares (a fecha de 26 de agosto de 2021), según se puede leer en uno de los emails analizados.
Una vez atraída la víctima, y habiendo iniciado esta la sesión en la web indicada, se le solicita un cambio de contraseña, dando así una falsa sensación de legitimidad y protección de dicha cuenta mediante la autenticación multifactor, considerada como una de las mejores prácticas de seguridad. Para tranquilizar todavía más a ese usuario que de por sí parte con conocimientos técnicos, se le hace saber que la única forma de ponerse en contacto con el servicio de asistencia es a través de la mensajería interna de la cuenta, que el propietario anterior de la misma no tiene ahora control sobre ella, así como que la plataforma es completamente anónima y nunca almacena la dirección IP.
En la plataforma, que parece estar en desarrollo activo, se muestran asimismo algunos movimientos con bitcoins, lo que puede interpretarse como que la cuenta es funcional, y se solicita hacer una primera transferencia para garantizar que todo funciona dentro de lo esperado. Y así sucede al cabo de unos 40 minutos, incluyendo actualizaciones en tiempo real. Por desgracia, la víctima se da de bruces cuando quiere retirar los bitcoins, y la plataforma le recuerda la cantidad mínima de bitcoins especificada en el momento de crear la cuenta. Esa transferencia final no funcionaría, de acuerdo el análisis de Proofpoint, restando del monedero de la víctima una cantidad insignificante de bitcoins, en comparación con el supuesto saldo de la cuenta, pero cuyo valor real sería de unos 1.400 dólares menos (a fecha de agosto de 2021).
En conclusión, desde Proofpoint consideran que el incentivo de ganar dinero siempre será un método eficaz y oportuno con el que tentar a posibles víctimas. No obstante, respecto a estos elaborados fraudes de pago por adelantado, la dependencia en la interacción con el usuario puede ser disuasoria y, al mismo tiempo, la clave para eludir servicios de detección automática de amenazas. Los investigadores de Proofpoint prevén aun así que los ciberdelincuentes sigan con esta actividad y evolucionen sus tácticas en futuras campañas a fin de aumentar su tasa de éxito.
