La barra de direcciones muestra HP.com. El navegador muestra el texto malicioso de los estafadores de todos modos.

No es la página de Apple que estás buscando

«Si le mostrara la (página internet) a mis padres, no creo que puedan decir que esto es falso», dijo Jérôme Segura, analista principal de inteligencia de malware en Malwarebytes, en una entrevista. «Como usuario, si hace clic en esos enlaces, piensa: ‘Oh, en realidad estoy en el sitio internet de Apple y Apple recomienda que llame a este número'».

Los actores desconocidos detrás de la estafa comienzan comprando anuncios de Google que aparecen en la parte superior de los resultados de búsqueda para Microsoft, Apple, HP, PayPal, Netflix y otros sitios. Mientras que Google muestra solo el esquema y el nombre del host del sitio al que los enlaces de anuncios (por ejemplo, https://www.microsoft.com), el anuncio agrega parámetros a la ruta a la derecha de esa dirección. Cuando un objetivo hace clic en el anuncio, abre una página en el sitio oficial. Los parámetros agregados luego inyectan números de teléfono falsos en la página que ve el objetivo.

Un número de teléfono falso inyectado en una página internet de HP.

Crédito: MalwareBytes

Google requiere anuncios para mostrar el dominio oficial al que vinculan, pero la compañía permite que los parámetros se agregen a la derecha que no sean visibles. Los estafadores están aprovechando esto agregando cadenas a la derecha del nombre de host. Un ejemplo:

/kb/index?web page=search&q=☏☏Callpercent20Uspercent20percent2B1-805-749-2108percent20AppIepercent20HeIpIinepercent2Fpercent2Fpercent2Fpercent2Fpercent2Fpercent2Fpercent2F&product=&doctype=&currentPage=1&includeArchived=false&locale=en_US&kind=natural

Los parámetros no se muestran en el anuncio de Google, por lo que un objetivo no tiene una razón obvia para sospechar que cualquier cosa está mal. Cuando se hace clic, el anuncio conduce al nombre de host correcto. Sin embargo, los parámetros adjuntos inyectan un número de teléfono falso en la página internet que ve el objetivo. La técnica funciona en la mayoría de los navegadores y en la mayoría de los sitios internet. MalwareBytes.com se encontraba entre los sitios afectados hasta hace poco, cuando el sitio comenzó a filtrar los parámetros maliciosos.

Número falso inyectado en una página internet de Apple.

Crédito: MalwareBytes

«Si hay un defecto de seguridad aquí, es que cuando ejecuta esa URL ejecuta esa consulta contra el sitio internet de Apple y el sitio internet de Apple no puede determinar que esta no es una consulta legítima», explicó Segura. «Esta es una consulta preformada hecha por un estafador, pero (el sitio internet) no puede resolverlo. Así que solo están escupiendo cualquier consulta que tenga».

Hasta ahora, dijo Segura, ha visto a los estafadores abusar solo de los anuncios de Google. No se sabe si los anuncios en otros sitios pueden ser abusados ​​de manera comparable.

Si bien muchos objetivos podrán reconocer que el texto inyectado es falso, la artimaña puede no ser tan obvia para las personas con discapacidad visible, deterioro cognitivo o que simplemente están cansados ​​o con prisa. Cuando alguien llama al número de teléfono inyectado, están conectados a un estafador que se hace pasar por un representante de la empresa. El estafador puede engañar a la persona que llama para entregar detalles personales o de tarjeta de pago o permitir el acceso remoto a su computadora. Los estafadores que afirman estar con Financial institution of America o PayPal intentan obtener acceso a la cuenta financiera del objetivo y drenarlo de fondos.

El producto de seguridad del navegador de MalwareBytes ahora notifica a los usuarios de tales estafas. Un paso preventivo más completo es nunca hacer clic en los enlaces en los anuncios de Google, y en su lugar, cuando sea posible, para hacer clic en los enlaces en resultados orgánicos.