Informe de investigación de amenazas de FortiGuard Labs

Black Friday y Cyber Monday dan inicio a la temporada de compras navideñas. De hecho, el  30% de todas las ventas minoristas se  producen entre el Black Friday y el día de Navidad. Y desde la llegada del Cyber ??Monday, las tiendas físicas y de comercio electrónico por igual pueden generar una parte importante de sus ingresos anuales durante este fin de semana de compras «festivo», lo que a menudo permite a los minoristas ponerse al día con los ingresos y cumplir los objetivos y las cifras de ventas del año. .

En el período previo a este evento, FortiGuard Labs ha observado más y más estafas que involucran sitios web falsificados que parecen ser sitios de comercio electrónico legítimos. Decimos «parece ser» porque para el ojo inexperto estos sitios pueden parecer seguros, pero si no está prestando atención, pueden robar su pago (y posiblemente la información de pago) a través de una compra que pensó que era legítima. Los sitios de comercio electrónico falsos se están convirtiendo rápidamente en la última amenaza para los consumidores y cubren una amplia gama de productos para atraer compradores potenciales.

Recientemente nos encontramos con una estafa activa y en vivo que aprovecha la apariencia de las empresas más grandes del mundo y sus respectivas marcas comerciales para obligar y atraer a las víctimas a realizar compras desde su sitio. Estos sitios no están afiliados de ninguna manera con el propietario de la marca registrada / IP, y son reconocibles en parte porque usan la misma plantilla una y otra vez en un juego digital de whack-a-mole (lo que significa que tan pronto como un sitio se cierra, otro uno aparece inmediatamente en otro lugar).

Varias de las marcas de alto perfil que hemos documentado incluyen:

• Parpadeo (Amazon)
• Oculus (Facebook)

Otras marcas conocidas infringidas incluyen:

• Coleman (equipo de camping)
• Ninja (electrodomésticos)
• Nu Wave (electrodomésticos)
• Ryobi (herramientas eléctricas)
• Makita (herramientas eléctricas)

También observamos otros que desde entonces han sido eliminados:

• Keurig
• Nespresso

Marco común

Los sitios web que hemos observado tienen las siguientes características en común:

• Los nombres de dominio solo se han registrado durante unos días o unos meses.
• Todos los sitios están registrados con el mismo registrador
• Usan dominios de nivel superior .TOP y .SHOP (.com también es común)
• Usan imágenes robadas
• Contienen numerosos errores gramaticales e inconsistencias en las declaraciones.
• Los botones de redes sociales no se resuelven en ninguna parte ni van a cuentas que no existen o se han eliminado
• Sus proveedores de alojamiento web utilizan redes de entrega de contenido (CDN) para permanecer en el anonimato (a través de una dirección IP que no se puede rastrear).

Milwauketools.shop (Recientemente registrado el 21/10/21)

Milwaukee Tools es una empresa de herramientas reconocida y establecida a nivel mundial con sede en los Estados Unidos. Los productos de Milwaukee Tools generalmente se venden a través de minoristas autorizados en línea o en tiendas. Nos encontramos con un sitio en línea registrado recientemente,  milwauketools [.] Shop , que tenía la apariencia de un minorista de comercio electrónico profesional.

Lo que nos llamó la atención de inmediato (además del nombre de dominio mal escrito) fue el precio muy bajo en el

“2696-26 KIT COMBO INALÁMBRICO DE 6 HERRAMIENTAS DE IONES DE LITIO M18” por $ 99.00.

A excepción de los modelos / líneas descontinuados, precios tan reducidos (este kit normalmente se vende por $ 659) es a menudo el sello distintivo de una estafa. Sin embargo, para el ojo inexperto, la oferta de tiempo limitado a través del temporizador de cuenta regresiva, la apariencia profesional del sitio, probablemente llamará la atención de un comprador impulsivo. Y eso es lo que espera el mal actor detrás de este sitio. Esperan que un comprador impulsivo que no esté prestando atención sea víctima de su estafa.

Banderas rojas

Aunque las secciones Acerca de EE. UU. Y Nuestra cultura de este sitio web parecen estar escritas por alguien con un buen conocimiento del idioma inglés (probablemente robado de un sitio legítimo), la cadena «milwauketools» (figura 3) indica un pequeño error que nos dice que esto no está relacionado con la organización oficial de Milwaukee Tools, aunque el logotipo de la marca registrada en la captura de pantalla a continuación tiene la ortografía correcta. Esto sugiere que el actor estaba siguiendo una plantilla durante la creación de este sitio:

Otra señal de alerta es que el dominio fue creado en la 21 ^st , que en el momento de escribir este blog lo hizo sólo cinco días de edad.

Mirando el código fuente del carrito de compras, vemos la cadena «?? ??», que se traduce como un «botón de actualización». Quizás esto sea indicativo de los orígenes del grupo detrás de este sitio, o el carrito de compras fue reutilizado desde otro lugar.

Una visita al sitio web de la empresa (milwaukeetool.com) revela que no venden directamente, lo que suele ser el caso de muchas marcas importantes:

Una consulta de compra de Bing.com destacó que el precio oficial más bajo para este KIT COMBO INALÁMBRICO DE 6 HERRAMIENTAS INALÁMBRICAS DE IONES DE LITIO 2696-26 M18 es de $ 613,00 (USD).

Más escrutinio

A medida que profundizamos al usar búsquedas OSINT (Inteligencia de código abierto) en los principales motores de búsqueda, encontramos 19 sitios minoristas en línea más que usaban la misma plantilla y carritos de compras que Milwauketools.shop, lo que sugiere que todos son parte de una estafa más grande. Esto se confirmó aún más cuando determinamos que todos se han registrado con el mismo registrador. En nuestros hallazgos se incluyeron sitios web que venden Oculus (Facebook), Blink (Amazon) y muchos más.

La plantilla de Oculus:

Sin embargo, si profundizamos más, podemos ver que Oculus Quest 2 está usando una plantilla similar al sitio Milwauketools.shop. También contiene el mismo temporizador de cuenta regresiva y oferta por tiempo limitado, junto con el bajo precio de $ 99 USD por algo que tiene un MSRP de $ 699.

La plantilla de parpadeo:

La plantilla de parpadeo tiene el mismo aspecto profesional:

Y de nuevo, la plantilla de parpadeo parece convincente.

Pero si examinamos más a fondo, nuevamente vemos el mismo temporizador de cuenta regresiva y la misma oferta por tiempo limitado de $ 99 USD por algo que tiene un MSRP de $ 379:

Es importante señalar que estas similitudes se repiten en todos los sitios que hemos identificado.

Marcas respetadas adicionales

Todo en la misma familia

Por último, la sección Acerca de nosotros para cada uno de estos sitios no solo contiene la misma verborrea, sino que tiene una plantilla similar, aunque con una ligera diferencia de la página de MilwaukeTools.shop:

Evaluación

Cada uno de estos dominios fraudulentos tiene, en promedio, solo varios meses de antigüedad, y el más antiguo de ellos en el momento de escribir este artículo (Intexpool-us.com) tiene más de 5 meses.

En la captura de pantalla a continuación, enumeramos los dominios de otros sitios minoristas de imitación que FortiGuard Labs encontró, sus fechas de creación similares y su registrador común y uso de CDN, junto con el uso de una plantilla común:

Preguntas y respuestas

¿Cómo es todo esto posible? ¿No es una gran pérdida de tiempo crear un sitio web solo para que lo eliminen? 

El software de sitios web y comercio electrónico ha evolucionado considerablemente durante la última década. Con el uso generalizado de los sistemas de gestión de contenido (CMS), donde el CMS y los carritos de la compra a menudo se combinan con una red de entrega de contenido (CDN) por un servidor web, los malos actores pueden implementar sitios de comercio electrónico de manera récord.

¿Qué es exactamente una CDN?

Básicamente, una CDN permite la entrega rápida y eficiente del contenido del sitio web a solicitudes de todo el mundo. Realiza esto almacenando cachés locales del sitio web en varias ubicaciones geográficas. Lo hace al vincular una red de servidores para entregar contenido de la manera más rápida y económica posible. Un proveedor de CDN coloca servidores en puntos de intercambio de Internet (IXP) entre diferentes proveedores de Internet para que puedan distribuir el contenido geográficamente más cerca de los visitantes del sitio web, lo que les permite experimentar cargas de página más rápidas.

Las CDN fueron una vez el reino de solo grandes corporaciones. Sin embargo, a medida que el precio de la CDN ha bajado, muchos proveedores de alojamiento web que ofrecen carritos de compras también brindan servicios de CDN. Esto tiene una ventaja adicional para los ciberdelincuentes, ya que también permite ocultar la dirección IP de origen, lo que significa que muchos sitios web (buenos y malos) a menudo comparten la misma dirección IP. Esto no solo dificulta la atribución, sino que le da a un mal actor otra capa de anonimato.

¿Cómo llegan las personas a estos sitios?

La gente suele encontrar estos sitios mediante búsquedas de palabras clave simples en los motores de búsqueda. Simplemente escriben el producto específico que están buscando y el producto aparece en la pestaña de compras o se promociona a través de la ubicación de palabras clave. Otras rutas al mercado incluyen promociones en redes sociales.

¿Mi empresa y yo somos propietarios de la propiedad intelectual que se está infringiendo? ¿Qué puedo hacer?

Aparte de consultar a su propio asesor legal (si tiene el presupuesto o cuenta con un asesor interno), tendrá que depender de los registradores del dominio para tomar medidas. Debido al anonimato de los registros de WHOIS, junto con el anonimato de la verdadera dirección IP del mal actor debido a su uso de CDN, puede ser muy difícil averiguar quién o qué está detrás del dominio en cuestión. Ponerse en contacto con el registrador que figura en los registros de WHOIS es el mejor curso de acción, ya que muchos registradores acreditados tienen un formulario de contacto de abuso para los dominios que violan sus términos de acuerdo de servicio.

¿Sabemos quiénes son estos actores de amenazas?

Lamentablemente no. Como el registrador de dominios y el uso de CDN para estos sitios permiten un alto grado de anonimato, no sabemos quiénes son realmente estos estafadores o si están trabajando solos o como parte de un grupo más grande. Sin embargo, debido al uso de las mismas plantillas y el mismo modus operandi, es muy probable que este sea el trabajo de un grupo. Pero también existe la posibilidad de que esta plantilla simplemente esté siendo reutilizada por varias personas y estafadores.

Normas

Realice la debida diligencia y escudriñe los sitios web en busca de inconsistencias, como fuentes no coincidentes, uso inconsistente de colores, cambios en el uso del idioma, precios o descripciones diferentes en varios textos, etc.

Verifique los registros de WHOIS para ver cuánto tiempo ha existido el dominio.

Busque errores tipográficos y gramática (ya que la mayoría de las empresas contratan editores de texto)

Envíe un correo electrónico a la empresa que cree que podrían estar suplantando antes de realizar una compra.

No compre impulsivamente un artículo si es muy barato. Como el viejo adagio, si es demasiado bueno para ser verdad, probablemente lo sea.

Que no cunda el pánico. Si cree que ha sido víctima de una estafa, llame a la compañía de su tarjeta de crédito de inmediato e infórmeles de una posible estafa.

Conclusión de la proliferación del comercio electrónico falso

A medida que Internet madura, también lo hace el software. Como resultado, la brecha entre los sitios web de comercio electrónico profesionales y los individuales se ha reducido considerablemente. Un área que una vez estuvo relegada a la experiencia de los desarrolladores web hace más de una década, la capacidad de construir e implementar un carrito de compras utilizable (y no rastreable) como parte de una estafa de sitios web falsificados, ahora puede ser diseñado fácilmente por cualquier persona con conocimientos prácticos. de los sistemas de gestión de contenidos (CMS). Esto hace que sea cada vez más difícil detectar sitios web fraudulentos sin investigar un poco. De hecho, alguien con un conocimiento técnico moderado puede obtener un sitio de comercio electrónico de aspecto profesional en línea en varias horas, especialmente si está utilizando una plantilla probada.

Se advierte encarecidamente a los usuarios que revisen cuidadosamente cualquier sitio web con el que no estén familiarizados antes de realizar una compra.

Siempre que ha sido posible, FortiGuard Labs se ha puesto en contacto con los propietarios de marcas comerciales / propiedad intelectual infringidos como una notificación de cortesía.

Protecciones Fortinet

Todas las URL asociadas para estos sitios fraudulentos se han agregado al cliente de filtrado web.

Obtenga más información sobre Fortinet  y la cartera de servicios contactándonos a ventas@evolutions-it.com