Las amenazas por correo electrónico en las que los usuarios terminan cogiendo el teléfono para llamar a un supuesto número de call center se han convertido últimamente en una de las formas de ataque más rentables para los ciberdelincuentes. Así se desprende de una investigación de la empresa de Proofpoint, que detecta y bloquea diariamente decenas de miles de estos fraudes a través de los cuales una sola víctima puede llegar a perder 50.000 dólares o más.
El éxito de estos ataques depende únicamente de la intervención del usuario para poder infiltrarse en su ordenador o smartphone, y habitualmente suelen darse con dos métodos diferentes: uno usa un software de soporte remoto gratuito y legítimo para hacerse con el dinero de la víctima, mientras que el otro distribuye malware a través de documentos para comprometer un dispositivo. Ambas amenazas son clasificadas por Proofpoint como ataques TOAD (telephone-oriented attack delivery).
En últimos incidentes los ciberdelincuentes mandaban emails desde Gmail, Yahoo u otro servicio de correo gratuito a las víctimas sobre entradas para conciertos de artistas como Justin Bieber o The Weeknd, cargos en PayPal, servicios de seguridad informática o ayudas por la Covid-19, prometiéndoles reembolsos por compras erróneas, actualizaciones de software o apoyo financiero. En estos emails aparecía un número de teléfono de atención al cliente al que llamaban los usuarios para solicitar ayuda, sin saber que un agente malicioso era quien interactuaba desde el otro lado para comenzar un ciberataque. Una vez que los atacantes entraban en el dispositivo comprometido, podían acceder a cuentas bancarias y de correo electrónico, entre otras, o bien descargar malware de seguimiento, incluyendo ransomware.
Correo electrónico malicioso que contiene unas supuestas entradas para un concierto de Justin Bieber. Imagen: Proofpoint
“Los atacantes son muy creativos con sus señuelos, y reclamos como un recibo falso de una entrada para ver a Justin Bieber pueden ser lo suficientemente llamativos para engañar incluso al usuario más cauto con su correo electrónico”, asegura Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. “Si se responde a uno de estos mensajes, lo que sucede a continuación es una elaborada cadena de infección que requiere de una importante intervención humana, conduciendo a la víctima a una experiencia de atención al cliente fraudulenta con el peor escenario posible: el robo de su propio dinero o una infección de malware”.
Estos call centers maliciosos están diseñados como si fueran negocios legítimos. Proofpoint ha registrado algunas de estas infraestructuras en India con objetivos dentro del propio país, así como Estados Unidos, Australia y Alemania. Para contar con sus propias oficinas, los propietarios firman contratos de alquiler en edificios haciéndose pasar por empresas de telemarketing o compañías de telefonía. Así reclutan a personal en lugares donde no abunda demasiado el empleo y estos trabajos resultan especialmente atractivos, aunque sean de fraude telefónico, con los que pueden ganar desde una rupia por cada dólar robado hasta los 50.000 dólares mensuales.
En cuanto al perfil de la víctima, estos ataques por email basados en call centers suelen afectar más a hombres que mujeres, siendo los más jóvenes quienes tienen más probabilidades frente a usuarios de mayor edad. Al igual que sucede con otros tipos de delitos, las personas que pierden dinero por culpa de ciberataques pueden sentirse avergonzadas y no compartir los detalles de lo ocurrido. Esto dificulta que los investigadores, las fuerzas de seguridad y el público en general conozcan el número real de personas afectadas por fraudes a través del correo electrónico. Pero lo que sí se sabe es que el objetivo de los ataques TOAD es indiscriminado e incluye tanto cuentas personales como direcciones de correo electrónico corporativas. Con solo una infección exitosa, se podría comprometer toda la red de una empresa llevando a ataques posteriores como el ransomware.