Varias de las URL utilizadas en esta campaña intentan parecer legítimas a través de palabras relacionadas con descuentos o la marca, lo que puede confundir a los usuarios desprevenidos. Por ejemplo, uno de los enlaces (actualmente eliminado) contenía la palabra «Hotsale» para imitar las prácticas habituales de las marcas que suelen crear páginas dedicadas a eventos como «CyberWeek», «CyberMonday» o «Black Friday».

Otros enlaces responden a estrategias típicas de phishing: crear dominios que se asemejen a dominios reales. Por este motivo, ESET advierte que se deben revisar cuidadosamente las URL antes de interactuar con un sitio web, especialmente si el enlace proviene de un correo electrónico no solicitado. Un sitio web legítimo tendría una estructura como /marca.com/hotsale y no //marcahotsail.com. A primera vista la diferencia puede pasar desapercibida.

Cuando el equipo de investigación de ESET Latinoamérica analizó la página falsa y la campaña de phishing, descubrió que el sitio web malicioso cambiaba su visualización adaptando la página que veía el usuario según su ubicación geográfica, los datos del navegador y el servidor de Internet. A esto se le llama phishing dinámico, una evolución de las tácticas de los ciberdelincuentes para realizar trucos que son más difíciles de detectar.

En la misma URL puedes acceder a un sitio que dice ser un catálogo de ropa online. Sin embargo, para llegar a usuarios específicos según la configuración de la campaña, en determinados navegadores se puede ver la página falsa de JBL en la que se realiza el robo de datos con el pretexto de ofrecer ofertas especiales.

En el primer paso, los ciberdelincuentes diseñan un sitio web con características similares a la página legítima de la marca para ser imitado o clonado y difundir el enlace malicioso de diferentes maneras. Una vez que el usuario ingresa al sitio falso, encontrará una interfaz que imita el sitio oficial de la empresa (dependiendo de las características del navegador y la conexión de la posible víctima).

“En este caso, se utilizaron URL que contenían las palabras “Hotsale”, “Descuentos” o “Tienda” agregadas al enlace, lo que puede resultar confuso al verificar rápidamente la URL.“, enfatiza Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET advierte que existen algunas señales de advertencia y phishing al ingresar a este sitio web falso:

• La página muestra los precios en pesos argentinos, pero la descripción del producto está en inglés, como si los ciberdelincuentes no se hubieran tomado el tiempo de traducir completamente la página de la plantilla.
• El sitio falso ofrece increíbles descuentos en altos porcentajes (60% o más), lo que sugiere ofertas demasiado buenas para ser verdad. De hecho, estos precios responden sólo a una de las características del phishing: ser atractivos y apelar a las emociones del usuario. En este caso juegan con la posibilidad de adquirir un producto, brindando así una excelente oportunidad para ahorrar mucho dinero en un producto muy atractivo.

Cuando la víctima hace clic en “Quick View” (Vista Rápida, en español) o “Comprar Ahora” (Comprar Ahora), es redirigida a un formulario de phishing que solicita información personal así como datos de tarjeta de crédito o débito, cuenta de PayPal, etc. para completar la compra.

«Una vez enviado el formulario, los datos introducidos por la víctima van directamente a los ciberdelincuentes que no sólo pueden utilizarlos para realizar compras fraudulentas, sino también explotarlos y venderlos. Además, podrían suplantar la identidad de la víctima para continuar con los engaños, esta vez usurpando su nombre.» advierte el investigador de ESET.