¿Por qué has recibido tanto correo no deseado en Gmail sobre refrigeradores Yeti?

En los últimos meses, los estadounidenses han estado recibiendo correos electrónicos prometiéndoles una mochila nevera Yeti gratis de Dick's Sporting Goods. un valor de $ 325.

No, no has ganado una hielera nueva.

Estos correos electrónicos han llamado mucho la atención porque a veces pueden evadir filtros de spam sofisticados, como los integrados en Googlees Gmail, pero son correos spam. Están diseñados para que las víctimas proporcionen sus números de tarjeta de crédito, que serán robados.

La campaña de spam es un ejemplo de cómo los estafadores se están volviendo cada vez más sofisticados para dirigirse a los consumidores para que revelen su información privada, dijo Or Katz, investigador principal de seguridad de Akamai, que recientemente publicó una mirada cómo funciona la reciente campaña de spam.

Si bien no está claro exactamente cómo los correos electrónicos pasan los filtros de spam, dijo Katz, esta campaña de phishing utiliza varias técnicas sofisticadas, incluidos filtros de IP, redireccionamientos y enlaces personalizados para evadir capas de software de seguridad diseñadas para marcar los correos electrónicos de phishing como dañinos y prevenirlos. de ser entregado a los usuarios.

La campaña también utiliza una técnica novedosa de incrustar un hashtag, o el símbolo de una libra, dentro de los enlaces para ocultar su naturaleza dañina, dijo Katz.

“Esta investigación muestra a los atacantes creando técnicas que les permiten hacer que sus campañas sean mucho más efectivas, o incluso evadir algunas detecciones”, dijo Katz. “Y al mismo tiempo, están creando campañas que son mucho más atractivas, mucho más confiables [aspecto], poniendo más esfuerzo en los detalles”.

Un representante de Google calificó la campaña de phishing como "generalizada" y "particularmente agresiva".

La campaña de spam que llega a las bandejas de entrada de los usuarios es otro recordatorio de que el fraude en línea es una industria importante, impulsada por el dinero, que continúa evolucionando. Si bien muchos usuarios pueden creer que verían a través de una estafa que ofrece productos valiosos de forma gratuita, algunas personas caen en la trampa o los atacantes no continuarían intentándolo.

Los consumidores en los EE. UU. informaron haber perdido más de $ 5.8 mil millones por fraude en 2021, según la Comisión Federal de Comercio. Los estadounidenses mayores informaron haber perdido más dinero que los jóvenes, dijo la FTC.

Si bien los correos electrónicos de phishing, como la campaña de enfriadores, son una fracción de ese total, las categorías de fraude más comúnmente reportadas a la FTC incluyen estafas de compras en línea y estafas de sorteos.

Detrás de cada correo electrónico falso de Yeti Cooler hay toda una industria de estafadores que desarrollan software para facilitar que los ladrones intenten robar información personal.

La industria del spam incluye personas que escriben y operan software de envío de spam y mercados negros para credenciales robadas, como tarjetas de crédito.

“Los adversarios están muy motivados por el dinero. Y tienen sus propias, como las llamamos, fábricas y economías. Las fábricas son aquellas fábricas que crean esos conjuntos de herramientas de phishing y los implementan, y las economías son aquellas que los venden o revenden y los usan en la naturaleza y obtienen dinero de eso”, dijo Katz.

Los kits de herramientas de phishing son software que facilitan la administración de servidores de spam y el envío de correos electrónicos. El conjunto de herramientas detrás de estos ataques recientes era bastante sofisticado, y sus desarrolladores evidentemente conocían y reaccionaron ante la forma en que los investigadores de seguridad intentan acabar con el spam, según Akamai.

El kit utiliza ingeniería social y varias técnicas para evadir herramientas de detección como escáneres de URL o rastreadores de seguridad.

El enlace dentro del correo electrónico, a menudo oculto con un servicio de reducción de URL, verifica que el usuario se encuentre en América del Norte. Luego pasa al usuario a través de una serie de URL intrincadas, redirigiendo automáticamente al usuario al sitio de estafa final, para que los verificadores de URL automatizados no puedan marcarlo como un enlace dañino.

Los enlaces de redirección anidados también permiten al atacante cambiar la infraestructura sobre la marcha si se descubren o desactivan partes de ella. A veces, los redireccionamientos se realizan a través de un proveedor de nube de confianza, utilizando la reputación de una empresa de servicios web legítima para ocultar la estafa.

Además, los correos electrónicos y los sitios web que se usan con el kit están bien diseñados en comparación con otras campañas de phishing, con gráficos de alta calidad, testimonios de "clientes" y el uso ilegal de marcas y marcas comerciales establecidas y confiables, lo que aumenta la posibilidad de que pueda engañar. Una Víctima.

Eventualmente, las empresas de seguridad empresarial aprenden sobre todas las nuevas técnicas de spam, y los correos electrónicos de spam finalmente se agregan a listas negras o se marcan dentro de los sistemas como maliciosos. Pero cuanto más tarden en responder los proveedores de correo electrónico y otras infraestructuras, más dinero ganan las "fábricas" mientras tanto.

“Es una especie de juego del gato y el ratón”, dice Katz.

La investigación de Akamai analizó un período de tiempo entre septiembre y finales de octubre, pero aparentemente la campaña sigue enviando spam, según los informes de las redes sociales. Además, las estafas de phishing que se enfocan en los consumidores tienden a aumentar durante la temporada navideña, aprovechando el clima festivo y tratando de mezclarse con las promociones reales, según Akamai.

Eventualmente, esta campaña específica se acabará. Mientras tanto, los usuarios pueden protegerse a sí mismos y a sus familiares y amigos que podrían ser vulnerables.

Primero, dice Katz, es darse cuenta de que si una oferta es demasiado buena para ser verdad, por ejemplo, un enfriador de marca gratuito, probablemente lo sea.

La segunda solución es más técnica: los usuarios deben mirar los detalles del correo electrónico, incluido su remitente y la URL del sitio web en el que finalmente los descarga el enlace. Los proveedores de Internet también pueden ofrecer servicios que pueden ayudar a prevenir las estafas. (Por lo general, los correos electrónicos de los estafadores usan una cadena aleatoria de letras para el nombre de dominio).

Las marcas también deben tener cuidado para evitar que los estafadores se aprovechen de su reputación y perjudiquen a sus clientes.

Este otoño, Dick's Sporting Goods emitió una alerta de seguridad en su sitio web advirtiendo a sus clientes sobre spam fraudulento. "Los estafadores recientemente han estado enviando correos electrónicos a un gran número de consumidores estadounidenses haciéndose pasar por empresas conocidas, incluida DICK'S", la empresa dijo en su sitio web.

“DICK'S no solicita información de nuestros clientes de esta manera. No debe responder ni seguir ningún enlace contenido en dicho mensaje”, continuó, y agregó que todos los correos electrónicos oficiales provendrían del nombre de dominio oficial de Dick.

Un representante de Yeti no hizo comentarios de inmediato.

Google dijo que la campaña de spam no se limitaba a los minoristas, sino que también se hacía pasar por empresas de transporte y entidades gubernamentales. Un representante le dijo a CNBC que los spammers están utilizando "la infraestructura de otra plataforma" para crear una ruta para el spam, pero que Gmail actualmente bloquea la gran mayoría de los correos electrónicos dañinos.

“Si bien vemos este tipo de campañas regularmente, esta es particularmente agresiva y esperamos que continúe a un ritmo alto durante la temporada navideña”, dijo el portavoz de Google en un comunicado. "Instamos a cualquiera que use el correo electrónico a que siga teniendo cuidado al abrir mensajes, y los usuarios de Gmail pueden aprovechar la función de informe de correo no deseado".