Una campaña de fraude malicioso llamada “ERIAKOS” promueve más de 600 tiendas online falsas a través de anuncios de Facebook para robar información personal y financiera de los visitantes.
Los sitios promocionan productos de marcas conocidas y ofrecen grandes descuentos para atraer visitantes, pero solo se puede acceder a ellos a través de dispositivos móviles para evadir la detección de los escáneres de seguridad.
Recorded Future descubrió la operación ERIAKOS y cree que probablemente se originó en China, según el registrador de dominios, las redes de tarjetas y los proveedores de servicios de pago utilizados.
Aunque la mayoría de los sitios mapeados por los investigadores ahora están fuera de línea, ya que tienen una vida útil fugaz, la campaña sigue activa y genera constantemente nuevas oleadas de publicidad para que las personas visiten los sitios recién creados.
La campaña de fraude
Recorded Future nombró la campaña en honor a su red de entrega de contenido, alojada en eriakos.[.]com, que es común a todas las tiendas online falsas identificadas. Los investigadores descubrieron la campaña de fraude el 17 de abril de 2024, pero no está claro cuándo se activó por primera vez.
Cada sitio fraudulento ofrece alrededor de 100 anuncios de Facebook dirigidos a usuarios de dispositivos móviles, que incluyen testimonios de usuarios falsos en los comentarios para aumentar la participación.
Fuente: Futuro grabado
Los anuncios promocionan descuentos masivos en productos populares, como zapatillas Nike, ropa North Face y iPhones de Amazon, pero con ofertas poco realistas por tiempo limitado para atraer compradores potenciales.
Fuente: Futuro grabado
Recorded Future afirma que Facebook a veces detectó los anuncios y los bloqueó, lo que demuestra que los algoritmos antifraude de la plataforma publicitaria fueron efectivos en algunos casos.
“Facebook Ads a veces bloqueaba anuncios fraudulentos y, en última instancia, bloqueaba la cuenta responsable de la campaña publicitaria, lo que indica que los algoritmos de detección de fraude del servicio son al menos parcialmente efectivos”. explica el informe Record Future.
“Sin embargo, la corta vida útil de los dominios fraudulentos reales sugiere que las campañas publicitarias probablemente también fueron diseñadas para ser de corta duración, lo que indica la intención de sus operadores de atraer y defraudar rápidamente a sus víctimas. »
“Es más probable que esta táctica sea eficaz cuando se llevan a cabo campañas publicitarias fraudulentas a gran escala, como fue el caso de esta campaña. »
Para evitar la detección por parte de investigadores y empresas antifraude, solo se puede acceder a las páginas de destino a través de plataformas móviles o cuando se ha hecho referencia a ellas desde Facebook. Si la URL de una tienda en línea falsa se ingresa manualmente en el escritorio o no contiene el encabezado de referencia, la página devuelve un error 404 como se muestra a continuación.
Fuente: Futuro grabado
Este filtrado impide la detección y eliminación inmediata, aumentando así la exposición al riesgo de los usuarios de Facebook.
Además, la renovación constante de dominios de corta duración utilizados para tiendas en línea fraudulentas crea otro desafío, ya que la red de malware cambia constantemente de sitios antiguos a sitios nuevos a un ritmo rápido.
Los indicadores comunes de la campaña de fraude son el uso de software gratuito en el sitio web.[.]Eriakos[.]com como CDN, dominios registrados en Alibaba Cloud Computing y uso de direcciones IP 47.251.50[.]19 y 47.251.129[.]84.
BleepingComputer detectó malware subido a VirusTotal [1, 2] comunicarse con estas direcciones IP. Sin embargo, no está claro si este malware proviene de los mismos actores maliciosos o de otros ciberdelincuentes que utilizan una infraestructura compartida.
Aunque muchos de los sitios web de la red de fraude ya no están operativos, Recorded Future compartió muestras de anuncios de hace apenas dos días con BleepingComputer, lo que demuestra que la campaña todavía está activa.
Fuente: BleepingComputer
En mayo de 2024, los investigadores de SRLabs descubrieron otra red de fraude en línea, “BogusBazaar”, que se cree que también opera desde China.
Recorded Future le dijo a BleepingComputer que informó a Meta sobre los anuncios fraudulentos antes de publicar su informe.
BleepingComputer también le preguntó a Meta sobre la campaña y actualizará la historia si recibimos respuesta.
Compra de forma segura
Campañas de fraude como esta pueden dañar a los consumidores de múltiples maneras, incluso provocando compras fraudulentas con tarjetas de crédito a largo plazo.
Cuando los consumidores compran productos en sitios fraudulentos, se cargan sus tarjetas, lo que permite a los piratas informáticos robar su dinero. Sin embargo, los piratas informáticos ahora también tienen la información de su tarjeta de crédito, que normalmente se vende en mercados de la web oscura para que otros piratas informáticos la utilicen con fines fraudulentos.
Por lo tanto, es fundamental comprar online de forma segura e investigar antes de comprar en sitios desconocidos.
Además, los anuncios en grandes plataformas como Facebook pueden transmitir una falsa sensación de legitimidad, empujando a los usuarios a tomar decisiones apresuradas para comprar lo que parece una oferta increíble.
Sin embargo, los usuarios deben recordar que a pesar de todos los mecanismos de protección de los sitios de redes sociales, los estafadores todavía encuentran oportunidades para promocionar sitios falsos.
Antes de realizar una compra e ingresar su información confidencial en la página de pedido, realice una verificación de antecedentes en la tienda electrónica, lea las reseñas de los usuarios, verifique los términos y condiciones y asegúrese de que el dominio en el que se encuentra utilice HTTPS.
Realizar estas comprobaciones en dispositivos móviles puede resultar más difícil, razón por la cual los estafadores se dirigen a los usuarios de dispositivos móviles. Por eso es importante investigar cualquier sitio web donde proporcione información de tarjetas de crédito.
Si hay signos sospechosos o falta de resultados de búsqueda en el sitio, es probable que se trate de una tienda online falsa creada para robar sus tarjetas de crédito e información personal y que debe evitarse.
