Una reciente investigación conducida por Bolster ha descubierto una campaña hasta ahora desconocida, de suplantación de marcas populares de ropa, calzado e indumentaria. Según la investigación, las marcas suplantadas sobrepasan las cien marcas, entre las cuales se puede mencionar Nike, Puma, Crocs, Caterpillar, entre muchas otras.
Se estima que la campaña de suplantación ha estado vigente desde la menos junio de 2022, mostrando un pico de actividad de phishing entre noviembre de 2022 y febrero de 2023.
La escala del Ataque
Se pudo observar que, para llevar a cabo la campaña de phishing, los actores maliciosos han registrado miles de dominios, con la clara intensión de llevar a cabo acciones maliciosas contra los clientes que no tienen sospecha alguna de las intenciones maliciosas.
Según la investigación, se ha observado una extensa red de sitios de estafa por suplantación de marca, con más de 3 mil dominios identificados. Estos sitios maliciosos tienen como objetivo mas de 100 marcas populares de ropa, calzado y confección. Con mas de 6 mil dominios suplantados, de dichas marcas.
Entre las marcas con mayor renombre, involucradas en dicha campaña, se pueden observar:
Los dominios asociados a esta campaña de phishing han sido rastreados al número de sistema autónomo AS48950. Estas direcciones IP de dominio se encuentran alojadas específicamente en dos proveedores de internet (ISP) los cuales han sido identificados como “Packet Exchange Limied” y “Global Colocation Limited”. Los cuales, poseen una mala reputación bajo “riesgo de fraude”.
Se pudo observar que la antigüedad de cada dominio es muy variable, con dominios que se registraron hace dos años, mientras que se observo que otros dominios dentro de la misma campaña, han sido registrados los pasados 3 meses.
Se pudo observar que la estructura de los dominios utilizados en esta campaña son una combinación del nombre de la marca junto a un nombre aleatorio de ciudad seguido de un TLD genérico. Ejemplo de esto son los dominios que intentan suplantar a la marca Puma:
- Pumafactoryoutletuk[.]com
- puma4romania[.]com
- pumaonlineshopdeutschland[.]com
- pumaslovensko[.]sk
- pumasalesingapore[.]com
- pumaifactoryturkey[.]com
- pumamexicomx[.]com
- pumaoutletnorge[.]com
- pumaparamexico[.]com
- pumacroatia[.]com, entre muchos otros.
Dominios de 2020
Según observaciones a los dominios registrados para esta campaña, se tuvo una primera aproximación al tiempo de vigencia de esta, mostrando datos de dominios registrados de 2022 sin embargo, luego de una investigación más profunda, se pudo observar registros de dominios que datan de 2020, pero que entraron en actividad hasta hace dos años.
Si bien, estos dominios habían sido registrado mucho tiempo atrás, no ha sido sino hasta enero de 2022 que se pudo observar un pico de actividad en estas, seguido de otro pico de actividad en enero y febrero de 2023 con un incremento de mas de 300 sitios falsos, cada mes.
La existencia de estos sitios falsos ha sido considerable, al punto que cuando un usuario realiza una búsqueda de alguna marca relacionada. Estos sitios falsos suelen ocupar el segundo o tercer puesto en la lista de resultados provista, esto en motores de búsqueda populares como el cado de Google. Esto mediante el uso de técnicas de optimización de motores de búsqueda o SEO, por sus siglas en inglés y así poder manipular los rankings de las páginas, en los motores de búsqueda y así los dominios posean una mayor visibilidad.
La motivación principal de la campaña de phishing parece ser directamente financiera, engañando al usuario final para que este ingrese toda su información personal y financiera esperando obtener el articulo deseado, el cual jamás es enviado o recibido por el usuario y en el mejor de los casos, el usuario termina recibiendo imitaciones de baja calidad procedentes de mercados chinos.
Es importante señalar la importancia de la precaución al momento de realizar búsquedas por medio de internet, sobre todo cuando estas conllevan acciones como el ingreso de datos financieros o datos personales. Por lo anterior, ser precavidos y asegurarse de que la pagina a la cual se desea ingresar es una pagina oficial de la empresa.
Pequeñas señales como precios demasiado “buenos” u ofertas “únicas” siempre pueden ser verificadas mediante la legitimidad del dominio.
Este tipo de campañas no solo resultan perjudiciales para el usuario final o el cliente, si no también para la marca o empresa. Ataques de suplantación pueden provocar en una empresa un daño a la reputación de esta. Por lo que es de gran importancia la implementación de protección de servicios digitales, con la finalidad de detener algún tipo de estafa de phishing.
