Los residentes de EE. UU. se ven inundados de mensajes de texto que dicen ser de operadores de carreteras de peaje como E-ZPassadvirtiendo que los destinatarios se enfrentan a multas si los peajes atrasados siguen sin pagarse. Los investigadores dicen que el aumento en el spam de SMS coincide con nuevas características añadidas a un popular kit de phishing comercial vendido en China que facilita la instalación de señuelos convincentes que suplanten a los operadores de carreteras de peaje en varios estados de Estados Unidos.
La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) los residentes han sido advertidos Esté atento a una nueva estafa de phishing o “smishing” por SMS dirigida a usuarios de EZDriveMAEl programa de peaje totalmente electrónico de MassDOT. A quienes caen en la estafa se les pide que proporcionen los datos de su tarjeta de pago y, opcionalmente, una contraseña de un solo uso enviada por SMS o mediante una aplicación de autenticación móvil.
Informes de ataques de phishing de mensajes de texto similares contra clientes de otras instalaciones de peaje estatales de EE. UU. surgieron aproximadamente al mismo tiempo que la alerta de MassDOT. Los residentes de Florida han informado haber recibido mensajes de texto de phishing fraudulentos. Pase del SolPrograma de peaje prepago de Florida.
Este módulo de phishing destinado a falsificar el sistema de peaje EZDrive de MassDOT fue ofrecido el 10 de enero de 2025 por un servicio de phishing por SMS con sede en China llamado “Lighthouse”.
En Texas, los residentes informaron haber recibido mensajes de texto sobre peajes impagos con el Autoridad de peaje del norte de Texas. Informes similares provinieron de lectores de California, Colorado, Connecticut, Minnesota y Washington. Esta no es de ninguna manera una lista exhaustiva.
Un nuevo módulo del kit de phishing SMS Lighthouse lanzado el 14 de enero está dirigido a clientes de la Autoridad de Peajes del Norte de Texas (NTTA).
En cada caso, la aparición de estos ataques de phishing por SMS ha coincidido con el lanzamiento de nuevos kits de phishing que imitan fielmente los sitios web de los operadores de peaje tal como aparecen en los dispositivos móviles. En particular, ninguna de las páginas de phishing se cargará a menos que el sitio web detecte que el visitante proviene de un dispositivo móvil.
Ford Merril trabaja en investigación de seguridad en SecAllianceA Grupo de seguridad CSIS negocio. Merrill dijo que el volumen de ataques de phishing por SMS destinados a suplantar a los operadores de carreteras de peaje se disparó después del Año Nuevo, cuando al menos un grupo cibercriminal chino conocido por vender sofisticados kits de phishing por SMS comenzó a ofrecer nuevas páginas de phishing diseñadas para hacerse pasar por operadores de peaje en varios estados de EE.UU.
Según Merrill, varios ciberdelincuentes con sede en China venden kits de phishing por SMS separados, cada uno de los cuales tiene cientos o miles de clientes. El objetivo final de estos kits, explicó, es obtener suficiente información de las víctimas para que sus tarjetas de pago puedan agregarse a billeteras móviles y usarse para comprar bienes en tiendas físicas, en línea o para lavar dinero a través de empresas pantalla.
Un componente del kit de phishing SMS de Chinese Lighthouse diseñado para apuntar a los clientes de The Toll Roads, que se refiere a varias carreteras estatales que atraviesan el condado de Orange, California.
Merrill dijo que los diversos proveedores de estas herramientas de phishing por SMS tradicionalmente se han hecho pasar por compañías navieras, autoridades aduaneras e incluso gobiernos con señuelos de reembolso de impuestos y estafas de renovación de visas o inmigración dirigidas a personas que viven en el extranjero o recién llegadas a un país.
“Lo que estamos viendo con estas estafas de peajes es simplemente una continuación de los grupos de estafadores chinos que pasan de esquemas de reenvío de paquetes a estafas de peajes”, dijo Merrill. “Todos nosotros estamos cansados de recibir estos ataques de destrucción de paquetes. Así que esto es ahora un nuevo giro en una estafa existente. »
En octubre de 2023, KrebsOnSecurity informó de un aumento masivo de estafas de phishing por SMS dirigidas Servicio Postal de EE. UU. clientes. Esta historia reveló que este aumento estuvo relacionado con las innovaciones introducidas por “Chenlun”, propietario con sede en China continental de un popular kit y servicio de phishing. En ese momento, Chenlun acababa de introducir nuevas páginas de phishing destinadas a hacerse pasar por servicios postales en Estados Unidos y al menos una docena de otros países.
Los kits de phishing de SMS no son nuevos, pero Merrill dijo que los grupos de smishing chinos han introducido recientemente innovaciones en la capacidad de entrega, integrando más perfectamente sus mensajes de spam con los de Apple. iMessage tecnología y con RCSla capacidad equivalente de mensajería de “texto enriquecido” integrada en Androide dispositivos.
“Si bien los kits de smishing tradicionales dependían en gran medida de los SMS para la entrega, hoy en día los actores utilizan mucho iMessage y RCS porque las empresas de telecomunicaciones no pueden filtrarlos y probablemente tengan una mayor tasa de éxito con estos canales de entrega”, dijo.
Aún no está claro cómo los phishers seleccionaron sus objetivos o de dónde provinieron sus datos. Un aviso de MassDOT advierte que “los números de teléfono objetivo parecen ser elegidos al azar y no están asociados exclusivamente con una cuenta o el uso de una carretera de peaje”.
De hecho, un lector compartió ayer en Mastodon que había recibido uno de estos ataques de phishing por SMS haciéndose pasar por un operador de peaje local, a pesar de que ni siquiera tenía vehículo.
Dirigidos o no, estos sitios de phishing son peligrosos porque los delincuentes los explotan de forma dinámica y en tiempo real. Si recibe uno de estos mensajes, ignórelo o elimínelo, pero no visite el sitio de phishing. El FBI pide que antes de descartar las misivas se considere presentar una denuncia ante la oficina de la agencia. Centro de denuncias de delitos en Internet (IC3), incluido el número de teléfono del que se originó el texto y el sitio web que figura en el texto.