La pandemia Covid-19 ya ha brindado muchas lecciones sobre cómo los actores malintencionados explotan temas de moda, eventos y desastres para llevar a cabo fraudes y ataques cibernéticos, y ha dado un gran interés público en las vacaciones en el Reino Unido, junto con la reanudación de algunos viajes internacionales limitados. , no es sorprendente ver que los ciberdelincuentes se han inclinado hacia ataques con temas de viajes, según los nuevos datos producidos en la unidad de investigación de la Unidad 42 de Palo Alto Networks.
En un informe recientemente publicado, Anna Chung y Swetha Balla de Unit 42 arrojaron algo de luz sobre la prevalencia de señuelos de phishing con temas de viajes que se utilizan para robar datos, credenciales de cuentas e información financiera, y cómo el equipo ha estado trabajando con terceros para eliminarlos. .
“Los ciberdelincuentes siempre están buscando formas de atrapar a las víctimas potenciales mediante el uso de la ingeniería social para explotar las tendencias actuales”, dijo Chung. “Ahora buscan explotar el fuerte deseo de viajar de la gente, que fue reprimido durante un largo período de tiempo debido a Covid.
“Para llevar a cabo la ingeniería social, los actores de amenazas siempre han aprovechado los dominios maliciosos y las URL que se hacen pasar por marcas conocidas y sitios web familiares para los usuarios finales. El contenido servido en estos dominios o URL maliciosos está diseñado para engañar a los usuarios finales, ya que se ven y se sienten muy similares a las marcas que los usuarios conocen.
“Alternativamente, los actores de amenazas también envían correos electrónicos de phishing a los usuarios finales para engañarlos para que descarguen archivos adjuntos maliciosos o hagan clic en enlaces que conducen a contenido malicioso: páginas de sitios web o archivos adjuntos. Los actores de amenazas usan temas que invocan un sentido de urgencia, como facturas pendientes, o atraen al usuario final emocionalmente, como correos electrónicos con temas de viajes enviados a medida que el mundo se abre “.
Chung y sus colegas analizaron un tesoro de URL de phishing con temas de viajes registradas entre octubre de 2019 y agosto de 2021, y encontraron que desde principios de 2021, una tendencia ascendente gradual en nuevas URL maliciosas, antes de un frenesí hacia fines de junio, alcanzó su punto máximo con más de 6.000 nuevas URL creadas cada día.
Muchas de estas URL, que incluían palabras clave como “aerolínea” y “vacaciones”, sirvieron como un medio para engañar a las personas para que descargaran el conocido infostealer Dridex de enlaces corruptos de Dropbox. La Unidad 42 trabajó posteriormente con Dropbox para eliminar estos enlaces y deshabilitar la cuenta asociada.
Pero los actores malintencionados no se han limitado a apuntar a los viajeros. La Unidad 42 también vio a los actores de amenazas usar servicios como Firebase, que está alojado en Google Cloud Storage, para alojar sus páginas y distribuir spam de malware dirigido a los trabajadores de la industria de viajes.
Firebase es fácil de explotar porque los actores malintencionados pueden usarlo para aprovechar la reputación de su host para eludir las protecciones estándar del correo electrónico, y algunas de las organizaciones objetivo de las aplicaciones web alojadas en Firebase este año incluyen mercados de alquiler en línea, cadenas de hoteles, empresas de administración de complejos turísticos y aerolíneas. La Unidad 42 trabajó posteriormente con Google para que estas URL de phishing particulares iniciaran el servicio.
Es probable que los datos robados a través de ataques con temas de viajes se hayan utilizado para varios fines, según la Unidad 42. Chung dijo que los ciberdelincuentes están motivados para monetizar los datos que roban, ya sean credenciales robadas, detalles de clientes o información de tarjetas de crédito. vendiéndola a otros en los mercados de la web oscura, o aprovechándola para realizar robos de identidad o más ataques cibernéticos, robar y revender puntos de fidelidad de aerolíneas u hoteles, o realizar reservas de viajes fraudulentas.