Una campaña de phishing en progreso usurpando la identidad de E-ZPass y otras agencias de peaje ha aumentado recientemente, los destinatarios que reciben varios textos iMessage y SMS para robar información personal y tarjeta de crédito.
Los mensajes integran enlaces que, en caso de clic, llevan a la víctima a un sitio de phishing que imita E-ZPass, las carreteras de peaje, Fastrak, Florida Turnpike u otra autoridad de peaje que intenta robar su información personal, incluidos nombres, direcciones de correo electrónico, direcciones físicas e información de tarjetas de crédito.
Esta estafa no es nueva, con el FBI por advertencia en abril de 2024, pero BleepingCompute vio y recibió varios informes sobre una ola de esta campaña de phishing móvil.
Los mensajes de texto evitan las medidas anti-Spam y provienen de direcciones de correo electrónico aparentemente aleatorias, que, combinadas en la escala de ataque, indican un ataque automatizado.
Los textos de estafa vistos por BleepingCompute pretenden ser directamente de E-ZPass o del Ministerio de Vehículos del Motor. Los textos usan un idioma que contiene una sensación de emergencia, ya que el peaje debe pagarse en un día o dos, donde habrá costos adicionales o se suspenderán las licencias.
“Su pago de peaje por E-ZPass Lane debe establecerse antes del 4 de abril de 2025. Para evitar multas y la suspensión de sus privilegios de conducción, pague en la fecha de vencimiento”, se lee un ejemplo de una estafa vista por el compras de Bleeping.
Fuente: BleepingCompute
Apple iMessage desactiva automáticamente enlaces en mensajes de envío desconocidos para proteger a los usuarios de las estafas de phishing SMS. Para evitar esto, los delincuentes les dicen a los usuarios que respondan al texto, lo que hará que los enlaces sean haciendo clic.
El golpe en el bono proporcionado lleva a la víctima a un sitio de phishing E-ZPass que, aparte de la URL, parece un sitio legítimo. Las pruebas de BleepingCompute han determinado que el sitio web de phishing solo es responsable de los dispositivos móviles, por lo que los usuarios de escritorio no lo verán.
Fuente: BleepingCompute
El volumen de textos enviados a esta estafa es tan grande que los usuarios han sido expreso Su frustración la frecuencia Y la persistencia de intentos de estafa especiales, a veces alcanzando hasta 7 mensajes en un día.
Aunque el origen de los mensajes aún no se ha determinado, recientemente hemos informado una plataforma de phishing como un servicio emergente llamado Lucid, que estaba vinculado a este tipo de estafas.
Las plataformas como Lucid y Darcula utilizan mensajes de iMessage y RCS cifrados para evitar los filtros anti-spam tradicionales y enviar grandes volúmenes de texto sin incurrir en los costos asociados con la entrega estándar de SMS.
Si recibe uno de estos mensajes, debe bloquear e informar el número para que la dirección de correo electrónico o el número de teléfono se informen a Apple. Sin embargo, como regla, debe evitar responder a estas estafas porque lo ponen en el radar de los delincuentes para futuros intentos.
Para aquellos que temen que tengan pagos legítimos en circulación, debe conectarse directamente al sitio de su autoridad de peaje para verificar las ventas.
El FBI aconsejó previamente a los destinatarios que presentaran una queja en Portal IC3.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.