Las estafas de pago por adelantado son un tipo de fraude en el que las víctimas son engañadas para que realicen un pago inicial con el aliciente de que supuestamente les servirá para recibir una gran cantidad de dinero.
Para que piquen el anzuelo, los defraudadores utilizan una gran variedad de temas, como pueden ser herencias, pagos del gobierno, sorteos de lotería, premios o negocios internacionales, y suplantan la identidad de personas de confianza a la vez que despliegan todas sus dotes de persuasión. Una vez que las víctimas caen en la trampa y hacen el pago por adelantado, los estafadores tienen básicamente dos opciones: tratar de engañarles otra vez inventándose una serie de tarifas adicionales o, simplemente, desaparecer.
Proofpoint ha descubierto ahora un nuevo esquema de fraude de pago por adelantado que está compuesto por campañas de correo electrónico de bajo volumen en las que se emplean tácticas avanzadas de ingeniería social para estafar a las víctimas mediante el uso de bitcoins.
"Este esquema difunde credenciales a supuestas plataformas de inversión privadas de Bitcoin y atrae a las víctimas con la promesa de retirar cientos de miles de dólares en criptomonedas de una cuenta ya establecida en la(s) plataforma(s)", explica la compañía de ciberseguridad en una entrada de su blog en la que comparte los principales hallazgos de su investigación.
Las claves de estas campañas
Según explica, estas campañas son muy similares a las estafas de pago por adelantado tradicionales, pero se caracterizan por ser mucho más sofisticadas desde el punto de vista técnico, contando con un sistema totalmente automatizado, y por requerir además una importante interacción con la víctima.
Otro aspecto que resalta en este caso el uso de criptomonedas, puesto que proporcionan anonimato tanto al atacante como a la víctima. A esta última puede incluso resultarle atractivo que el dinero se adquiera de forma anónima y libre de impuestos, lo cual es indicativo de que los ciberdelincuentes se fijan en personas que manejan monederos bitcoin con cierta soltura.
Los investigadores de Proofpoint detectaron la primera de estas campañas por correo electrónico en mayo de 2021 utilizando la página Coins45.com, mientras que la versión más reciente comenzó en julio de 2021 y dirige a las potenciales víctimas a SecureCoins.net. De acuerdo a la investigación, estas campañas no se dirigen a ningún sector o país en concreto, sino que se envían a entre decenas y cientos de destinatarios en todo el mundo.
Además, se ha observado que los correos electrónicos de la misma campaña contienen la misma pareja credenciales credenciales (ID de usuario y contraseña), ya que al parecer varias personas pueden iniciar sesión con ellas desde una dirección IP y un navegador diferentes. Sin embargo, tan pronto como las víctimas inician sesión, se les solicita que cambien la contraseña y agreguen un número de teléfono de recuperación por seguridad para que sus cuentas se conviertan en privadas y nadie pueda acceder a ellas.
Así engañan a sus víctimas…
Siguiendo siempre la información de Proofpoint, todo comienza de la misma manera que con cualquier estafa de Business Email Compromise (BEC), con un correo electrónico pensado para llamar la atención del destinario. Por ejemplo, prometiendo una cantidad sustanciosa de dinero: unos 28,85 bitcoins o, al cambio, 1.350.119 dólares (a fecha de 26 de agosto de 2021), según se puede leer en uno de los emails analizados.
Una vez atraída la víctima, y habiendo iniciado esta la sesión en la web indicada, se le solicita un cambio de contraseña, dándole una falsa sensación de seguridad de dicha cuenta y animándole a protegerla mediante la autenticación multifactor, considerada una de las mejores prácticas de seguridad. Para tranquilizar todavía más a ese usuario, se le hace saber que la única forma de ponerse en contacto con el servicio de asistencia es a través de la mensajería interna de la cuenta, que el propietario anterior de la misma no tiene ahora control sobre ella, así como que la plataforma es completamente anónima y nunca almacena la dirección IP.
En la plataforma, que parece estar en desarrollo activo, se muestran asimismo algunos movimientos con bitcoins, lo que puede interpretarse como que la cuenta es funcional, y se solicita hacer una primera transferencia de 0.0001 BTC (alrededor de 4,75 dólares, el 26 de agosto de 2021) para garantizar que todo funciona correctamente. Si la hace, la transferencia aparece en la cola y, después de unos 40 minutos, parece haberse completado. "La víctima comienza a recibir confirmaciones de la transferencia junto con la cantidad que aparece en su billetera personal. La plataforma también parece estar actualizada en tiempo real". Sin embargo, todo es falso.
… Y así las estafan
La estafa cobra fuerza a partir de ahora. "Es en este momento que la plataforma informa a la víctima que, para ahorrar dinero, el propietario de la cuenta especificó un monto mínimo de retiro de 29.029 BTC en el momento de crear la cuenta. Por lo tanto, la víctima no puede retirar una cantidad inferior a esa. Es probable que ahora la víctima concluya que la única forma de obtener esos 28.9999 BTC es transfiriendo suficientes BTC a la plataforma (cualquier valor superior a 0.0291 BTC) para alcanzar un saldo de al menos 29.029 BTC, como se especifica", explica Proofpoint.
Supuestamente, así podría vaciar su cuenta pero Proofpoint asegura que, si bien sus investigadores no lo han podido verificar, han concluido "con alta confianza" que la transferencia final no funcionaría y que la billetera de la víctima perdería 0,029 BTC. "Esa cantidad es casi insignificante en comparación con el supuesto saldo de la cuenta; sin embargo, todavía representa alrededor de 1.400 dólares (al 26 de agosto de 2021)", resalta la firma de ciberseguridad.
En palabras de Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint: "Las estafas de pago por adelantado son amenazas apenas notables, pero de gran volumen, que tienen en cuenta escenarios elaborados y algo inverosímiles. En este caso, sin embargo, se trata de campañas bien pensadas que van mucho más allá del correo electrónico. Es una evolución de los fraudes BEC en la que se aprovecha el uso de criptomonedas para el anonimato, algo que comúnmente se asocia al ransomware y a la infraestructura web. Todo ello hace que esta amenaza destaque entre un sinfín de intentos de fraude de lo más obvio y escaso esfuerzo".