Google apuntó a ciberdelincuentes de origen ruso, que suplantaron identidades en el portal de videos para robar divisas virtuales y/o vender perfiles en el portal de videos.
Los expertos en seguridad informática subrayan la propagación de fraudes basados en suplantación de identidad, muchos de los que se diseñan para el robo de criptomonedas en función de la gran visibilidad que esos valores han adquirido en el último año. Esta semana Google reveló una estafa que incluyó ambas variables, que se desplegó a través de usuarios populares en YouTube y que, según dicen, han desbaratado.
La empresa apuntó a grupos delictivos de habla rusa. “Los actores detrás de esta campaña, que atribuimos a un grupo de piratas informáticos reclutados en un foro de habla rusa, atraen a su objetivo con oportunidades de colaboración falsas (generalmente una prueba de antivirus, VPN, reproductores de música, programas de edición de fotos o juegos en línea), para secuestrar su canal, luego venderlo al mejor postor o usarlo para difundir estafas de criptomonedas”, explicaron desde Google.
Los detalles de la estafa vía youtubers
De acuerdo a la división de seguridad de la compañía estadounidense, los ciberdelincuentes emplearon un malware para robar cookies para recabar información de youtubers populares en el portal de videos. Con esa información enviaron correos electrónicos con enlaces: un clásico caso de phishing, basado en suplantación de identidad para extraer datos a las víctimas.
Google señaló que en el marco de este fraude se crearon al menos 15.000 cuentas utilizadas para suplantar la identidad de empresas conocidas y además registraron más de 1.000 dominios web asociados a organizaciones falsas. Desde esos perfiles, los piratas informáticos se contactaban con creadores de contenido y, por ello, la empresa del buscador remarco que éstos deben ser cuidadosos al aceptar propuestas comerciales.
“El phishing generalmente comenzaba con un correo electrónico personalizado que presentaba a la empresa y sus productos. Una vez que el objetivo aceptó el trato, se envió una página de destino de malware disfrazada de URL de descarga de software por correo electrónico o un PDF en Google Drive y en algunos casos, documentos de Google que contienen los enlaces de phishing”, agregaron.
La propuesta que recibían los youtubers parecía veraz: los piratas contaban con cuentas con el aspecto de cuentas empresariales y, como se indicó más arriba, incluso tenían sitios web disponibles online que, sabemos, solamente eran una fachada.
“Algunos de los sitios web se hicieron pasar por páginas de software, como Luminar, Cisco VPN, juegos en Steam, y algunos se generaron utilizando plantillas en línea. Durante la pandemia, también descubrimos atacantes que se hacían pasar por proveedores de noticias con un software de noticias covid-19″, comentaron los investigadores de Google.
¿Los últimos pasos? Cuando los piratas conseguían el control de las cuentas las vendían al mejor postor (el precio es más elevando a mayor cantidad de suscriptores), o bien las cambiaban radicalmente para hacerlas pasar por firmas especializadas en comercio de criptomonedas. En esos casos, publicaban videos prometiendo regalar divisas a cambio de una contribución inicial.
Influencers en la mira de los piratas informáticos
“Las cuentas de influencers y redes sociales pueden ser muy valiosas para los ciberdelincuentes, ya que pueden usarse para abusar de la confianza que tienen los seguidores para mejorar la efectividad de las estafas o para difundir malware”, comentó Erich Kron, un experto en el área consultado por el sitio SCMedia. “Cuando una persona recibe un correo electrónico u otra notificación de un creador de contenido de confianza, es mucho más fácil convencerla de que haga clic en enlaces, realice compras falsas o entregue información confidencial. Esto es especialmente cierto cuando las cuentas de creadores de contenido o redes sociales tienen un estado verificado o similar desde la plataforma”, añadió.