Tu tarjeta en un iPhone ajeno: estafadores ya pueden vincular cuentas a Apple Pay en segundos

Los grupos de phishing chinos, que saturan a los usuarios con SMS interminables sobre una «paquete problemático» o una «multa impaga», han lanzado un nuevo producto estacional: kits para la creación masiva de tiendas en línea falsas, que roban datos de tarjetas bancarias y las vinculan a carteras móviles Apple y Google. Al mismo tiempo, los grupos ampliaron su repertorio de cebos: ahora envían mensajes sobre devoluciones de impuestos inexistentes y puntos de bonificación de operadores móviles.

En la última semana se registraron miles de dominios que se hacen pasar por sitios para clientes de T-Mobile y les prometen un gran saldo de bonificación. Estos enlaces se difunden a través de iMessage y RCS — a los usuarios se les ofrece «recoger» miles de puntos, tras lo cual el sitio de phishing solicita nombre, dirección, teléfono y datos de la tarjeta. En cuanto la víctima introduce la tarjeta, el sitio pide un código de un solo uso del banco, bajo el pretexto de confirmar la transacción. En realidad, los atacantes en ese momento intentan vincular la tarjeta a su dispositivo a través de Apple Pay o Google Wallet, y el código introducido les da control total para futuros cargos. Dominios similares también apuntan a usuarios de AT&T.

Según el investigador de SecAlliance Ford Merrill, varias agrupaciones con base en China que ofrecen phishing como servicio llevan tiempo usando esquemas similares en Europa y Asia, pero solo ahora han entrado activamente en el mercado estadounidense. Un análisis de los dominios vinculados a este grupo muestra falsificaciones de sitios de los servicios fiscales de distintos estados: a las víctimas se les promete un «reembolso no recibido» para volver a extraer datos de tarjetas y códigos de un solo uso.

Un campo especialmente complejo se ha convertido en las tiendas en línea falsas. A diferencia de los dominios de smishing, que entran rápidamente en las listas negras, las tiendas falsas no spamean al mundo entero, sino que atraen compradores a través de Google y Facebook — a menudo por búsquedas de productos concretos y «precios ventajosos». Estas tiendas se crean sobre la base de los mismos kits de phishing chinos: externamente parecen convincentes, pero en la fase de pago cargan un script malicioso que, después de introducir la tarjeta, inicia su vinculación al monedero del estafador. Muchas víctimas se dan cuenta de que fueron engañadas solo semanas después, cuando el pedido no llega.

Merrill señala que esos sitios pueden operar sin problema durante meses: son difíciles de detectar mediante escáneres masivos y rara vez aparecen en sistemas de navegación segura. Una de las formas más eficaces de lucha sigue siendo el envío rápido de los SMS de phishing y de los enlaces recibidos a servicios como smishreport.com. Su creador, el fundador de SURBL Raymond Deikhorn, dice que basta con enviar una captura de pantalla: el algoritmo detecta patrones y bloquea toda la serie de dominios relacionados.

Los expertos advierten que a final de año es inevitable un aumento de los ataques de smishing: en el ajetreo festivo la gente compra más en línea y verifica menos los detalles. El peligro aumenta porque los estafadores recurren con gusto a cualquier «urgencia» — notificaciones sobre paquetes retenidos, bloqueos de cuentas u otros problemas ficticios.

Para no convertirse en víctima de esos esquemas, los especialistas recomiendan evitar la búsqueda ciega del precio más bajo y comprobar la reputación de tiendas desconocidas. Los dominios nuevos son especialmente riesgosos: simplemente compruebe la fecha de creación mediante WHOIS. En caso de mensajes sospechosos sobre problemas con un pedido, es mejor entrar manualmente al sitio del servicio de entrega sin seguir enlaces. Y en cualquier compra en línea conviene leer con atención las condiciones de envío, los cargos ocultos y las políticas de devolución. Por último, es importante controlar los extractos de las tarjetas: el flujo de transacciones navideñas es el momento ideal para que los estafadores oculten sus cargos entre compras legítimas.