Ciberseguridad
¡Alerta jugadores! roban sus datos bancarios
ESET identificó un phishing que promueve una falsa herramienta para obtener ventajas en juegos, con el que roban datos bancarios a usuarios de Fortnite y otros 67 títulos.
Si son jugadores de Fortnite, Animal Crossing, League of Legends (LoL) y otros 65 videojuegos, tengan cuidado de una nueva trampa del cibercrimen con el que roban datos bancarios.
El Laboratorio de Investigación de ESET Latinoamérica identificó una campaña de phishing que promueve una herramienta para obtener ventajas, por ejemplo, en Fortnite, como la obtención de mods, cheats o V-Bucks, entre otras cosas, cuyo objetivo es recopilar datos bancarios de usuarios desprevenidos.
El engaño actúa a través de una página inicial que incluye 150 enlaces sobre distintas temáticas relacionadas con Fortnite, que pretende atraer el interés de los usuarios para que accedan a los enlaces creyendo que podrán obtener ventajas al momento de jugar.
“El sitio inicial es uno de tantos que aparecen en los resultados de Google con búsquedas relacionadas a obtener ventajas o hacer trampa en Fortnite, por lo que creemos que la mayoría de las víctimas llega a este sitio a través de los motores de búsqueda, además creemos que el sitio inicial, y también el que contiene las falsas herramientas que veremos más adelante, se distribuyen a través de redes sociales y foros”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Así funciona
Antes de ofrecer la supuesta herramienta de hacking para Fortnite, todos los enlaces en esta página dirigen a la víctima a un mismo sitio en el cual se solicita ingresar la dirección de correo electrónico y/o nombre de usuario, además de indicar la plataforma desde la cual juega el usuario. Aquí inicia el problema que desencadena en el robo de datos bancarios.
ESET informa que es probable que esta información quede en manos de los operadores del engaño, es decir que, si la dirección de correo y/o la contraseña ingresada son utilizadas para acceder a la cuenta de Fortnite o a la de otro servicio, se recomienda modificarla cuanto antes.
En una segunda instancia, la potencial víctima debe seleccionar los elementos del juego y cantidad de recursos que aparentemente serán generados para su cuenta en Fortnite. Entre las opciones, se incluye la obtención de V-Bucks, desbloqueo de elementos del juego, armas o puntería, entre otros aspectos característicos de este juego.
Luego de seleccionar los elementos que el usuario desea obtener, se ejecuta un script que simula conectarse a un servidor y llevar a cabo una autenticación cifrada que, entre otras cosas, también muestra los datos previamente ingresados por el usuario, lo que parece un intento por darle más veracidad al phishing.
Luego de la aparente ejecución exitosa de la herramienta, el usuario debe autenticarse con información real antes de que se añadan los supuestos beneficios a su cuenta de Fortnite y de esta manera verificar que no se trata de un bot. El sitio indica que esta autenticación permite “ayudar y prevenir el abuso del hack”.
Finalmente, el usuario es dirigido a un sitio en el que se presenta el verdadero objetivo de la campaña de phishing: obtener el nombre completo de la víctima, el código postal y los datos de su tarjeta para el robo de datos bancarios.
El sitio manifiesta requerir la información de facturación ya que no cuentan con la licencia para distribuir sus contenidos en ciertos países. Además, el engaño solicita que el usuario verifique su dirección postal y que proporcione un número de tarjeta de crédito válido, ya que garantizan no aplicar ningún cargo por validar la cuenta.
El sitio presenta elementos que podrían brindar confianza a un usuario desprevenido, como una calificación de más de cuatro estrellas supuestamente basada en más de un millón de opiniones; el uso de protocolos seguros, o contar con una política de privacidad, que incluso hace referencia a otras empresas.
“A pesar de contar con los elementos y características descritas, esto no implica que se trate de un sitio legítimo. De hecho, en la actualidad, un alto porcentaje de sitios de phishing utilizan certificados de seguridad, lo que demuestra que como factor para determinar si un sitio es seguro o no, por sí solo no es suficiente”, agrega Gutiérrez Amaya.
Ataque
Luego de que el usuario ingresa la información solicitada por el sitio, se presenta un mensaje de error, que además insta a continuar en otra página e ingresar nuevamente las credenciales, concretando así el robo de información y de los datos bancarios.
Tras examinar el dominio de la página a la que es redireccionada la víctima luego de hacer clic en los enlaces del sitio inicial, ESET comprobó que además de ofrecerse la herramienta Hack Generator para Fortnite, los operadores detrás de este engaño ofrecen la misma herramienta para otros 67 videojuegos, incluida una herramienta para obtener seguidores en Instagram. Cada una de estas herramientas funciona igual y tienen el mismo objetivo: robar datos bancarios de la víctima. La única modificación está en el diseño de la interfaz del sitio con la herramienta, personalizado con las imágenes de cada juego. Además de llegar a esta herramienta a través del sitio inicial, ESET detectó que otros dominios comprometidos son utilizados para distribuir la misma falsa herramienta.