- Los ataques de phishing ahora omiten la autenticación de múltiples factores utilizando tácticas de aprovisionamiento de billetera digital en tiempo real
- Los códigos de acceso únicos ya no son suficientes para detener a los estafadores con kits de phishing optimizados para dispositivos móviles
- Millones de víctimas fueron atacadas utilizando alertas cotidianas como peajes, paquetes y avisos de cuenta
Una ola de campañas avanzadas de phishing, rastreadas con sindicatos ciberdicentes de habla china, puede haber comprometido hasta 115 millones de tarjetas de pago de EE. UU. En poco más de un año, advirtieron los expertos.
Los investigadores de Secalliance revelaron que estas operaciones representan una creciente convergencia de ingeniería social, omitir la autenticación en tiempo real e infraestructura de phishing diseñada para escalar.
Los investigadores han identificado una figura denominada “Lao Wang” como el creador original de una plataforma ahora ampliamente adoptada que facilita la recolección de credenciales basadas en móviles.
Robo de identidad escalado a través del compromiso móvil
En el centro de las campañas hay kits de phishing distribuidos a través de un canal de telegrama conocido como “Dy-Tongbu”, que rápidamente ha ganado tracción entre los atacantes.
Estos kits están diseñados para evitar la detección de investigadores y plataformas por igual, utilizando geofencing, bloques IP y orientación de dispositivos móviles.
Este nivel de control técnico permite que las páginas de phishing alcancen los objetivos previstos al tiempo que excluyen activamente el tráfico que podría marcar la operación.
Los ataques de phishing generalmente comienzan con los mensajes SMS, iMessage o RCS utilizando escenarios cotidianos, como alertas de pago de peaje o actualizaciones de entrega de paquetes, para conducir a las víctimas hacia páginas de verificación falsas.
Allí, se les solicita a los usuarios que ingresen información personal confidencial, seguido de datos de la tarjeta de pago.
Los sitios a menudo están optimizados móviles para alinearse con los dispositivos que recibirán códigos de contraseña de un solo tiempo (OTP), lo que permite el derivación de autenticación de múltiples factores inmediatos.
Estas credenciales se aprovisionan en billeteras digitales en dispositivos controlados por atacantes, lo que les permite evitar los pasos de verificación adicionales normalmente necesarios para las transacciones de tarjeta no presente.
Los investigadores describieron este cambio al abuso de billetera digital como un cambio “fundamental” en la metodología de fraude de tarjetas.
Permite el uso no autorizado en terminales físicas, tiendas en línea e incluso cajeros automáticos sin requerir la tarjeta física.
Los investigadores han observado que las redes criminales ahora van más allá de las campañas de amordazamiento.
Hay evidencia creciente de sitios de comercio electrónico falsos e incluso plataformas de corretaje falsas que se utilizan para recopilar credenciales de usuarios desprevenidos que participan en transacciones reales.
La operación ha crecido para incluir capas de monetización, incluidos dispositivos precargados, cuentas comerciales falsas y colocaciones de anuncios pagados en plataformas como Google y Meta.
A medida que los emisores de tarjetas y los bancos buscan formas de defenderse de estas amenazas en evolución, las suites de seguridad estándar, la protección del firewall y los filtros SMS pueden ofrecer ayuda limitada dada la orientación de precisión involucrada.
Dada la naturaleza encubierta de estas campañas de amordazamiento, no existe una única base de datos pública que enumere las tarjetas afectadas. Sin embargo, las personas pueden tomar los siguientes pasos para evaluar la posible exposición:
- Revisar transacciones recientes
- Busque una actividad de billetera digital inesperada
- Monitorear las solicitudes de verificación o OTP que no inició
- Verifique si sus datos aparecen en los servicios de notificación de incumplimiento
- Habilitar alertas de transacciones
Desafortunadamente, millones de usuarios pueden no saber que sus datos han sido explotados por robo de identidad a gran escala y fraude financiero, facilitados no a través de infracciones tradicionales.
A través de la infosecuridad
