No es la página de Apple que estás buscando

“Si le mostrara la (página web) a mis padres, no creo que puedan sostener que esto es desleal”, dijo Jérôme Segura, analista principal de inteligencia de malware en Malwarebytes, en una entrevista. “Como sucesor, si hace clic en esos enlaces, piensa: ‘Oh, en sinceridad estoy en el sitio web de Apple y Apple recomienda que llame a este número'”.

Los actores desconocidos detrás de la estafa comienzan comprando anuncios de Google que aparecen en la parte superior de los resultados de búsqueda para Microsoft, Apple, HP, PayPal, Netflix y otros sitios. Mientras que Google muestra solo el esquema y el nombre del host del sitio al que los enlaces de anuncios (por ejemplo, https://www.microsoft.com), el anuncio agrega parámetros a la ruta a la derecha de esa dirección. Cuando un objetivo hace clic en el anuncio, abre una página en el sitio oficial. Los parámetros agregados luego inyectan números de teléfono falsos en la página que ve el objetivo.

Un número de teléfono desleal inyectado en una página web de Microsoft.

Crédito: MalwareBytes

Un número de teléfono desleal inyectado en una página web de HP.

Crédito: MalwareBytes

Google requiere anuncios para mostrar el dominio oficial al que vinculan, pero la compañía permite que los parámetros se agregen a la derecha que no sean visibles. Los estafadores están aprovechando esto agregando cadenas a la derecha del nombre de host. Un ejemplo:

/kb/index?page=search&q=☏☏Call%20Us%20%2B1-805-749-2108%20AppIe%20HeIpIine%2F%2F%2F%2F%2F%2F%2F&product=&doctype=&currentPage=1&includeArchived=false&locale=en_US&type=organic

Los parámetros no se muestran en el anuncio de Google, por lo que un objetivo no tiene una razón obvia para sospechar que cualquier cosa está mal. Cuando se hace clic, el anuncio conduce al nombre de host correcto. Sin confiscación, los parámetros adjuntos inyectan un número de teléfono desleal en la página web que ve el objetivo. La técnica funciona en la mayoría de los navegadores y en la mayoría de los sitios web. MalwareBytes.com se encontraba entre los sitios afectados hasta hace poco, cuando el sitio comenzó a filtrar los parámetros maliciosos.

Número desleal inyectado en una página web de Apple.

Crédito: MalwareBytes

“Si hay un defecto de seguridad aquí, es que cuando ejecuta esa URL ejecuta esa consulta contra el sitio web de Apple y el sitio web de Apple no puede determinar que esta no es una consulta legítima”, explicó Segura. “Esta es una consulta preformada hecha por un estafador, pero (el sitio web) no puede resolverlo. Así que solo están escupiendo cualquier consulta que tenga”.

Hasta ahora, dijo Segura, ha conocido a los estafadores extralimitarse solo de los anuncios de Google. No se sabe si los anuncios en otros sitios pueden ser abusados ​​de modo similar.

Si proporcionadamente muchos objetivos podrán examinar que el texto inyectado es desleal, la artimaña puede no ser tan obvia para las personas con discapacidad visual, daño cognitivo o que simplemente están cansados ​​o con prisa. Cuando alguno apasionamiento al número de teléfono inyectado, están conectados a un estafador que se hace suceder por un representante de la empresa. El estafador puede engañar a la persona que apasionamiento para entregar detalles personales o de polímero de suscripción o permitir el ataque remoto a su computadora. Los estafadores que afirman estar con Bank of America o PayPal intentan obtener ataque a la cuenta financiera del objetivo y drenarlo de fondos.

El producto de seguridad del navegador de MalwareBytes ahora notifica a los usuarios de tales estafas. Un paso preventivo más completo es nunca hacer clic en los enlaces en los anuncios de Google, y en su división, cuando sea posible, para hacer clic en los enlaces en resultados orgánicos.