El gigante multinacional de la venta al por menor Walmart encabezó la clasificación el trimestre pasado, representando el 16% de todos los intentos de Phishing y ascendiendo desde el 13º puesto que ocupaba en el cuarto trimestre de 2022.
Esto se debe a una importante campaña de phishing en la que se instaba a las víctimas a hacer clic en un enlace de encuesta malicioso, relacionado con «el colapso del sistema de suministro».
Mientras tanto, DHL se mantuvo en segundo lugar, apareciendo en el 13% de los eventos de phishing, seguido de cerca por Microsoft con un 12% durante el trimestre. En conjunto, el sector tecnológico fue el más imitado, seguido del transporte marítimo y el comercio minorista.
El último informe también destaca cómo los actores de amenazas se aprovechan de las organizaciones del sector financiero para robar datos de cuentas.
El banco Raiffeisen ocupó los puestos primero a octavo de la lista. En la campaña de phishing de Raiffeisen, que representó el 3,6% de los ataques de phishing del último trimestre, se animaba a los destinatarios a hacer clic en un enlace malicioso y a garantizar la seguridad de las cuentas contra cualquier actividad fraudulenta. Una vez enviados, esos datos eran robados por el atacante.
«Los grupos criminales orquestan campañas de phishing para conseguir que el mayor número posible de personas se desprenda de sus datos personales», afirma Omer Dembinsky, Data Group Manager de Check Point Software. «En algunos casos, los ataques están diseñados para obtener información de cuentas, como se ha visto con las campañas de Bradesco y Raiffeisen. Otros se despliegan para robar detalles de pago, lo que presenciamos con el popular servicio de streaming Netflix».
Y añade: «La mejor defensa contra las amenazas de phishing, como siempre, es el conocimiento. Los empleados deben recibir la formación adecuada para detectar rasgos sospechosos como dominios mal escritos, errores tipográficos, fechas incorrectas y otros detalles que pueden poner al descubierto un correo electrónico o enlace malicioso.»
En un ataque de suplantación de identidad de marca, los delincuentes intentan imitar el sitio web oficial de una marca conocida utilizando un nombre de dominio o una URL similares y un diseño de página web que se parezca al sitio auténtico. El enlace al sitio web falso puede enviarse a las personas objetivo por correo electrónico o mensaje de texto, puede redirigirse al usuario durante la navegación web o puede activarse desde una aplicación móvil fraudulenta. El sitio web falso suele contener un formulario destinado a robar las credenciales, los datos de pago u otra información personal de los usuarios.
Principales marcas de phishing en el primer trimestre de 2023
A continuación se muestran las principales marcas clasificadas por su aparición general en los intentos de suplantación de identidad:
Walmart (relacionado con el 16% de todos los ataques de phishing a nivel mundial)
DHL (13%)
Microsoft (12%)
LinkedIn (6%)
FedEx (4,9%)
Google (4,8%)
Netflix (4%)
Raiffeisen (3,6%)
PayPal (3,5%)
Correo electrónico de phishing del Banco Raiffeisen – Ejemplo de robo de cuenta
Este es un ejemplo de un intento de robar la información de la cuenta bancaria Raiffeisen de un usuario a través de un correo electrónico de phishing. El remitente se llama «Raiffeisen», pero la dirección de correo electrónico es «support@raiffeisen-info[.]com». El asunto del correo electrónico es «El nuevo servicio SmartToken no está activo» en rumano (origen: «Noul serviciu SmartToken nu este acti»), y el contenido afirma que la víctima necesita activar el servicio «SmartToken» para garantizar la seguridad de la cuenta contra cualquier actividad fraudulenta. El correo electrónico contiene un enlace malicioso, «https://urlz[.]fr/kxnx» que el atacante intenta engañar a la víctima para que haga clic y así poder robar su cuenta.
Figura 2: El correo electrónico malicioso que contenía el asunto
«El nuevo servicio SmartToken no está activo» (origen: «Noul serviciu SmartToken nu este acti»)
Estafa de phishing de Netflix: intentos de robar datos de pago
Durante el primer trimestre de 2023, detectamos un correo electrónico fraudulento que utilizaba la marca Netflix para engañar a los usuarios. El correo electrónico, que parecía proceder de «Netflix», se envió desde la dirección de correo electrónico «support@bryanadamstribute[.]dk». El asunto del mensaje era «Uрdаtе rеquіrеd – ассоunt оn hоld», y en él se afirmaba que la cuenta de Netflix del destinatario había sido suspendida por no haberse autorizado el pago del siguiente ciclo de facturación. El mensaje ofrecía un enlace para renovar la suscripción y pedía a la víctima que introdujera los datos de pago correctos. Sin embargo, el enlace dirigía a los usuarios a un sitio web malicioso «https://oinstitutoisis[.]com/update/login/» con la intención de robar su información de pago.
Figura 3: El correo electrónico malicioso que se envió con el asunto
«Uрdаtе rеquіrеd – ассоunt оn hоld»
Fuente: Check Point Research