El equipo de investigación de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha identificado un nuevo esquema de fraude de pago por adelantado compuesto por campañas de correo electrónico de bajo volumen en las que se emplean tácticas avanzadas de ingeniería social para estafar a las ingenuas víctimas mediante el uso de bitcoins. El plan de los ciberdelincuentes consiste en difundir credenciales de supuestas plataformas privadas de inversión en esta criptomoneda y atraer a usuarios con la promesa de recibir a cambio miles de dólares a través de una cuenta ya establecida en esa misma plataforma.
Si bien son muy similares a las tradicionales estafas de pago por adelantado, estas campañas se caracterizan por ser mucho más sofisticadas desde el punto de vista técnico, contando con un sistema totalmente automatizado, y que requieren además una importante interacción con la víctima. Otro aspecto a tener en cuenta en este caso es el uso de criptomonedas, puesto que proporcionan anonimato tanto al atacante como a la víctima. A esta última puede resultarle incluso atractivo que el dinero se adquiera de forma anónima y libre de impuestos, lo cual es indicativo de que los ciberdelincuentes se fijan en personas que manejan monederos bitcoin con cierta soltura.
Estas campañas por correo electrónico, detectadas por primera vez en mayo de este año y con una versión más reciente el pasado julio, no se dirigen a ningún sector o país en concreto, sino que se envían a entre decenas y cientos de destinatarios en todo el mundo. De acuerdo a la investigación, en una misma campaña las víctimas recibían iguales credenciales (ID de usuario y contraseña), ya que al parecer varias personas pueden iniciar sesión con ellas desde una dirección IP y navegador diferentes. Solo al cambiar la contraseña y agregar un número de teléfono en siguientes pasos, la cuenta pasa a ser única de modo que los usuarios no ven la actividad de otras víctimas.
Como así sucede con cualquier estafa de Business Email Compromise (BEC), todo empieza con un correo electrónico pensado para llamar la atención del destinario, por ejemplo, prometiendo una cantidad sustanciosa de dinero: unos 28,85 bitcoins o, al cambio, 1.350.119 dólares (a fecha de 26 de agosto de 2021), según se puede leer en uno de los emails analizados.
Una vez atraída la víctima, y habiendo iniciado esta la sesión en la web indicada, se le solicita un cambio de contraseña, dando así una falsa sensación de legitimidad y protección de dicha cuenta mediante la autenticación multifactor, considerada como una de las mejores prácticas de seguridad. Para tranquilizar todavía más a ese usuario que de por sí parte con conocimientos técnicos, se le hace saber que la única forma de ponerse en contacto con el servicio de asistencia es a través de la mensajería interna de la cuenta, que el propietario anterior de la misma no tiene ahora control sobre ella, así como que la plataforma es completamente anónima y nunca almacena la dirección IP.
En la plataforma, que parece estar en desarrollo activo, se muestran asimismo algunos movimientos con bitcoins, lo que puede interpretarse como que la cuenta es funcional, y se solicita hacer una primera transferencia para garantizar que todo funciona dentro de lo esperado. Y así sucede al cabo de unos 40 minutos, incluyendo actualizaciones en tiempo real. Por desgracia, la víctima se da de bruces cuando quiere retirar los bitcoins, y la plataforma le recuerda la cantidad mínima de bitcoins especificada en el momento de crear la cuenta. Esa transferencia final no funcionaría, de acuerdo el análisis de Proofpoint, restando del monedero de la víctima una cantidad insignificante de bitcoins, en comparación con el supuesto saldo de la cuenta, pero cuyo valor real sería de unos 1.400 dólares menos (a fecha de agosto de 2021).
“Las estafas de pago por adelantado son amenazas apenas notables, pero de gran volumen, que tienen en cuenta escenarios elaborados y algo inverosímiles. En este caso, sin embargo, se trata de campañas bien pensadas que van mucho más allá del correo electrónico”, describe Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. “Es una evolución de los fraudes BEC en la que se aprovecha el uso de criptomonedas para el anonimato, algo que comúnmente se asocia al ransomware y a la infraestructura web. Todo ello hace que esta amenaza destaque entre un sinfín de intentos de fraude de lo más obvio y escaso esfuerzo”.
En conclusión, desde Proofpoint consideran que el incentivo de ganar dinero siempre será un método eficaz y oportuno con el que tentar a posibles víctimas. No obstante, respecto a estos elaborados fraudes de pago por adelantado, la dependencia en la interacción con el usuario puede ser disuasoria y, al mismo tiempo, la clave para eludir servicios de detección automática de amenazas. Los investigadores de Proofpoint prevén aun así que los ciberdelincuentes sigan con esta actividad y evolucionen sus tácticas en futuras campañas a fin de aumentar su tasa de éxito.