Los estafadores se dirigen a los usuarios de la popular aplicación Todo en Google
Recientemente me encontré con un desarrollador en X (twitter) que tropezó con un sitio web de phishing que se veía exactamente como una aplicación todolist popular. Esta táctica de suplantación de identidad es difícil de detectar, incluso si tienes conocimientos técnicos.
Hace poco me encontré con un desarrollador en X (twitter) que se topó con un sitio web de phishing que se anunciaba en Google. Esta táctica de suplantación de identidad es difícil de detectar incluso si se tienen conocimientos técnicos.
He aquí los antecedentes de lo ocurrido:
Buscó la conocida aplicación Todolist "todoist" en Google e hizo clic en el primer resultado patrocinado, que tenía el logotipo y la URL correctos en el listado patrocinado:
Sin embargo, el sitio web al que fue redirigido era un dominio similar y no el sitio web oficial de todoist.
Si sólo echas un vistazo a la URL, puede que no te des cuenta de que la URL es toidollst.com y no todoist.com. La página de aterrizaje es similar a lo que cabría esperar y el logotipo es el mismo.
Por desgracia, el desarrollador acabó descargando el software que anunciaba este sitio web de phishing.
Cómo funcionan las estafas
Los sitios web de phishing suelen utilizar anuncios de pago por clic en motores de búsqueda y plataformas de redes sociales. Al igual que vimos con la estafa de los anuncios de facebook de Buybuybay , es menos probable que analicemos un sitio web que se anuncia en una de estas plataformas. Se supone que, en primer lugar, el editor evitará que los sitios web fraudulentos se anuncien. Sin embargo, a menudo no es así.
En el caso de este exploit, las estafas que aprovechan los anuncios de búsqueda de Google son especialmente difíciles de detectar, ya que la URL que se muestra no tiene por qué coincidir con la URL a la que se redirige al usuario tras hacer clic en el anuncio.
Los estafadores suelen registrar nuevos dominios para cada estafa con el fin de eludir las fuentes de información sobre amenazas, que clasifican los dominios maliciosos. Para cuando el dominio es clasificado por estos servicios, el daño ya está hecho.
Manejo de estas estafas
Si por casualidad hiciera clic en un anuncio patrocinado que promocionara un sitio web de phishing similar, tendría que examinar detenidamente la URL para averiguar si se encuentra en un sitio web legítimo. Esto no es práctico porque, naturalmente, no estamos en "alerta máxima" constantemente.
En mi caso, fui al enlace de phishing mencionado en el post X y me di cuenta de que estaba bloqueado por mi política de contenidos DNS.
Pero si buscas la categorización en el radar de Cloudflare , no está categorizado como sitio web de phishing.
Entonces, dado que este sitio web pasó desapercibido en la mayoría de los feeds de inteligencia de amenazas, ¿por qué me lo bloquearon?
En mi política de contenidos , utilizo la configuración predefinida Amenazas para la seguridad para bloquear muchos tipos diferentes de amenazas potenciales para la seguridad.
Si haces clic en un anuncio y llegas a un sitio web clasificado de esta forma, es muy probable que esté asociado a una estafa. Estos sitios web se clasifican de esta manera porque se han publicado en línea recientemente.
Si usted es miembro de Tech Lockdown, asegúrese de que su Política de Contenidos tiene el preajuste de Amenazas a la Seguridad añadido. Puede crear una nueva regla y encontrarla en la pestaña de preajustes.