Alertan de la proliferación de webs fraudulentas vinculadas a la crisis de Ucrania

Infoblox ha advertido que se han disparado y que es complicado diferenciar los sitios y entidades legítimas de las fraudulentas.

Guardar

Ciberataques y ciberamenazas relacionadas con la crisis de Ucrania
Ciberataques y ciberamenazas relacionadas con la crisis de Ucrania

La semana pasada informamos en Escudo Digital que los ciberdelincuentes no habían tardado en aprovechar la guerra entre Rusia y Ucrania para poner en marcha nuevas ciberestafas que utilizan este pretexto para robar dinero a los usuarios a través de transferencias de activos criptográficos. Así lo advirtieron ESET y Avast, pero las ciberamenazas que sacan partido al conflicto van más allá de estas ciberestafas como ha alertado este mismo lunes otra compañía de ciberseguridad.

En este caso ha sido Infoblox de la mano de su departamento Threat Intelligence Group, el cual ha realizado un informe que pone de manifiesto un notable incremento en el número de nuevos nombres de dominio registrados relacionados con la invasión de Ucrania y la crisis humanitaria desencadenada como consecuencia de ella.

Analizando el tráfico de DNS, los investigadores han podido constatar que los dominios relacionados con Ucrania comenzaron a dispararse a partir del 24 de febrero, el mismo día que Vladímir Putin ordenó comenzar la invasión a Ucrania. Desde esa jornada hasta el 28 de febrero, se observó por primera vez que el número de dominios era más de dos veces mayor que en la semana anterior a la ofensiva rusa.

La evolución de los nuevos nombres de dominio relacionados con la crisis de Ucrania (Fuente: Infoblox))
La evolución de los nuevos nombres de dominio relacionados con la crisis de Ucrania (Fuente: Infoblox))

"Los ciberdelincuentes están aprovechando este movimiento mundial de solidaridad para crear sitios fraudulentos que suplantar o imitar esfuerzos de apoyo humanitario genuinos", afirma Infoblox en un comunicado, donde indica que ha desarrollado múltiples análisis y está evaluando activamente el nivel de amenaza de los dominios recién observados.

Según subraya, las actividades maliciosas que se han detectado son diversas y van desde campañas de malware hasta entidades que se hacen pasar por organismos de coordinación para la entrega de suministros médicos a Ucrania. También incluyen las mencionadas estafas que buscan recolectar criptomonedas, que Infoblox posiciona como una de las amenazas más frecuentes.

La dificultad de diferenciar los sitios y entidades legítimas de las fraudulentas

La firma de ciberseguridad también pone sobre la mesa dos razones por las que es complicado diferenciar los sitios y entidades legítimas de las fraudulentas. La primera de ellas es que las diferentes iniciativas que se están organizando – tanto legítimas como fraudulentas – se están realizando en forma de Organizaciones Anónimas Descentralizadas (DAO).

"Este tipo de organizaciones surgen de forma espontánea en este tipo de crisis, con un objetivo específico, son propiedad de los miembros que la forman pero carecen de un liderazgo centralizado o único", explica, y apunta que la segunda razón por la que es difícil detectar las páginas y entidades legítimas de las fraudulentas es que, además de que muchas de ellas operan bajo el modelo de DAO, utilizan tecnología de blockchain y criptomonedas para canalizar los fondos de ayuda.

Como ejemplo de ello señala que el 26 de febrero se detectó una cuenta de Twitter que se identificaba como perteneciente al gobierno ucraniano y solicitaba donaciones en criptomoneda, "lo que podría haber contribuido a la oleada de sitios emergentes que ofrecen donaciones mediante moneda virtual".

"Por este motivo se están produciendo una serie de 'falsos positivos', con organizaciones de seguridad calificando de sitios fraudulentos a organizaciones DAO que son legítimas, como por ejemplo la iniciativa puesta en marcha Nadya Tolokonnikova, fundadora de Pussy Riot. Aunque el dominio está recién registrado y utiliza criptomonedas, los fundadores reclaman públicamente la DAO de Ucrania y la reconocen en cuentas de Twitter verificadas. Hemos llegado a la conclusión de que este dominio no aloja malware ni contenido fraudulento", asegura la empresa de ciberseguridad.

Por el contrario, destaca que existen otras DAO más sospechosas, que carecen de vínculos creíbles con personalidades establecidas en la región y que aparentemente muestran un contenido similar al de los sitios de ayuda legítimos. Sin embargo, indica que hay una serie de elementos que hacen sospechar de que se trata de sitios fraudulentos, como son el hecho de que la dirección de Ethereum anunciada no tiene transacciones, que no hay ningún reclamo validado públicamente de este sitio y que los propietarios del sitio crean transacciones de terceros a otro dominio recientemente registrado.

Ante estas circunstancias, la conclusión de Infoblox es que "para el usuario medio es muy difícil discernir qué sitios son legítimos y cuáles no, lo que además supone una amenaza añadida, al exponerse no solo a la estafa monetaria, sino también a abrir un canal de comunicación a los ciberdelincuentes para que puedan además robar información personal, de tarjetas de crédito y distribuir malware".

Cómo prevenir y mitigar estas ciberamenazas

En su comunicado, Infoblox también recomienda verificar la legitimidad de las organizaciones antes de hacer cualquier donativo como primera medida de seguridad. En este sentido, advierte que algunos de estos sitios "podrían servir como frentes fraudulentos para operaciones de inteligencia u operaciones de delitos cibernéticos, lo que representa un riesgo potencial de spyware para dispositivos de punto final y recolección de información de identificación personal (PII)".

Por ello, aconseja que antes de proporcionar información personal o financiera a este tipo de sitios web, se verifique con una fuente establecida que identifique a la organización y su dominio de alojamiento.