Criminalidad 4.0 - Malvertising

La publicidad es, sin duda, una herramienta poderosa para realizar negocios, ya sea para elevar la posición de un producto en el mercado, generar prospectos o lograr mayor reconocimiento de marca. La persona promedio puede estar expuesta hasta unos 10,000 anuncios publicitarios en varios formatos durante el transcurso de un dia.

Un ejemplo, es la famosa campaña publicitaria de los 90 ”Got Milk?”. Fue utilizada por las compañías lecheras de California para contrarrestar la creciente demanda de bebidas carbonatadas, deteniendo una tendencia que le hubiese costado $255 millones a la industria.

Desde entonces, el panorama de la publicidad ha cambiado radicalmente en la era digital. En un periodo de 10 años los ingresos por publicidad digital de Google han incrementado más de 300% pasando de 51 mil millones de dólares a 224 mil millones de dólares.

El rápido crecimiento de la publicidad digital corresponde a que la misma se puede utilizar de una manera más concentrada, de este modo dándole oportunidad a las compañías de alcanzar sus mercados meta de una manera más enfocada.

Por ejemplo, es posible utilizar información de patrones de comportamiento de los usuarios como historial de búsqueda, origen de tráfico, e incluso acciones previas en sitios web para determinar cuáles usuarios específicos tienen probabilidad elevada de tomar acciones al recibir publicidad de un tema en particular.

Estas capacidades son excelentes multiplicadores para las compañías que quieren publicitar sus productos y servicios de manera legitima, pero las mismas son muy llamativas para actores maliciosos e inclusive compañías legitimas que deciden explotar ciertos aspectos del marketing digital de maneras poco éticas.

El ”Malvertising“(Malicious Advertising) es un término que hace referencia al uso de medios publicitarios para ejecutar ataques maliciosos. Algunas definiciones del término hacen mención específica del uso de medios publicitarios para engañar a los usuarios para lograr que descarguen malware, mientras que otras definen el mismo como el uso malicioso de la publicidad.

Todo lo que quieres escuchar: Mercadeo malintencionado.

La publicidad de “inversiones desde $250 en Banco General” es algo que muchos panameños hemos visto en algún punto al interactuar con nuestras redes sociales. Esta campaña utiliza el malvertising como táctica principal para maximizar su alcance de audiencia en geografías determinadas y, por ende, el número de potenciales víctimas.

El objetivo principal es persuadir a la víctima para que cree una cuenta en una plataforma de intercambio, prometiéndole la posibilidad de invertir en grandes empresas locales.

Invertir $250 para recibir $500, es decir, un retorno del 100%, suena tentador. Las inversiones subsecuentes inclusive prometen incrementos en retorno dependiendo de la cantidad de dinero que decidas invertir: una inversión de $500 promete $1750, lo que traduce en un incremento del 250% de tu inversión inicial.

Estos retornos estratosféricos que ofrecen son, ridículos. El retorno de intereses sobre una inversión en el mercado de bolsa promedio puede oscilar entre el 7% y el 10%, con oportunidades de inversión menos riesgosas generando menos y las más riesgosas, más. Sin embargo, la promesa de dinero fácil es exactamente lo que las potenciales víctimas de este grupo quieren escuchar.

Con el objetivo de entender a mayor profundidad esta campaña y evaluar el potencial daño que puede causar, procederemos a realizar un análisis detallado de la misma.

Los anuncios se difunden en las principales redes sociales como Youtube, Instagram y Twitter. Incluso es posible que te aparezca publicidad directamente en tu bandeja de correo Gmail. Abajo puedes ver algunos ejemplos.

Es importante mencionar que las campañas publicitarias que llevan a cabo, en particular las que se anuncian a través de YouTube, tienen un amplio alcance y están particularmente enfocadas en Panamá. Como se puede observar a continuación, se aproximan a las 700,000 visitas, lo cual podría tener un costo promedio de hasta $4,500 dólares.

Al hacer clic en uno de estos anuncios, nos llevaría a la siguiente página, o a una similar, dependiendo de la empresa de la cual pretenden vender acciones. En Panamá, las más utilizadas son Banco General, Copa Airlines y Grupo Melo.

Solicitan información como nombre, apellido, correo electrónico y número de teléfono. El objetivo de obtener esta información es de contactar a la potencial víctima, y solicitar dinero para las supuestas inversiones.

La estructura de los sitios es similar entre ellos, también podemos observar con frecuencia que la estructura de los URL’s es similar con ligeras variaciones entre ellos.

Observaciones de los URL:

• Subdominio: en todos los casos el subdominio es “LPS”.
• Compañía: en algunos casos utilizan abreviaturas para las compañías que bgo para Banco General, byo es un error de teclado para bgo (tecla “y” arriba de “g”), gb es un error para bg, y chn para Copa Holdings.
• Idioma: en algunos casos referencia al idioma “es”.
• Pais/Region: en algunos casos referencia al país “pa” o “lat”.
• Número de campaña: en algunos casos parecieran hacer referencia a la version de campaña ya sea 1, 2 o 3.
• Sitio: en todos los casos incluyen abreviaturas del dominio principal. Por Ejemplo, pbn para PortoBelloNow, rmg para RainbowMarketingGroup.
• Banner: en algunos casos utilizan “react_bgo_6707” y “chn_7888” que es una referencia a la ubicación en donde guardan los recursos para el banner del sitio.

La estructura de los sitios principales también comparte características recurrentes. En la imagen de abajo podemos observar 4 de ellos los cuales comparten una estructura similar, y ofertan servicios de marketing. En algunos casos el wording es idéntico entre sitios.

Los sitios también comparten direcciones y números de teléfono, frecuentemente de los Emiratos Árabes Unidos.

Al realizar una búsqueda sencilla podemos observar que existen más sitios similares a los que ya hemos podido encontrar.

Todos estos sitios tienen una temática similar a la que hemos visto anteriormente: se presentan como supuestas compañías de mercadeo que prometen tácticas creativas para el crecimiento acelerado de los negocios. Sin embargo, la realidad es que estos dominios, que parecen inofensivos a simple vista, están diseñados para lanzar campañas maliciosas.

A partir de lo observado, podemos concluir que el grupo responsable de esta operación dispone de una cantidad considerable de recursos financieros.

Entre algunos de los registradores de dominio más utilizados por este grupo estan Dynadot, Danesconames, Namesilo y Nicenic.

Al contactar a los registradores mediante los correos para reportes de abuso, obtuvimos varias respuestas. Dynadot comentó que no tenían la capacidad suficiente para determinar qué actividad podría ser considerada fraudulenta.

La respuesta más efectiva fue por parte de DanescoNames, que tomó acciones para detener la propagación de la campaña maliciosa. El actor malicioso acató la solicitud e hizo la baja de la página lps[.]topdestinygroup[.]com/react_bgo_6707_2_tdg, pero rápidamente puso en línea una casi idéntica: lps[.]topdestinygroup[.]com/ubuz_bgo_6707_2_tdg.

Esto demuestra que el actor malicioso posee un grado elevado de resiliencia frente a posibles bajas de páginas por violación de términos y condiciones.

Esto a su vez les permite continuar con una operación continua con mínimas interrupciones mientras continúan alcanzando a sus potenciales victimas. Ahora veamos que sucede si una persona ingresa su información en los sitios.

La llamada de Call center: ¿Estas listo para invertir en Banco General?

La potencial victima recibiría una llamada a la brevedad de un call center operado ya sea por colombianos o mexicanos, lo cual es consistente con el modus operandi del crimen organizado transnacional, que con frecuencia utiliza estos centros para ejecutar fraudes. En ocasiones inclusive los empleados trabajan bajo amenazas y enfrentan consecuencias fatales si no realizan las estafas.

En la imagen abajo podemos ver que los números utilizados realizan altos volúmenes de llamadas, los países principales que reciben estas llamadas son Panama, Colombia, Costa Rica y las llamadas entrantes usualmente se realizan en horas de la tarde.

En el caso del número que se utilizó para esta información se registraron entre 6 y 8 llamadas en un horario de 1 a 4 de la tarde.

Durante la llamada se reciben instrucciones para crear una cuenta en la plataforma en donde según los operadores podremos comenzar a invertir inmediatamente en Banco General, se recibe un mensaje de texto con una URL que nos lleva al siguiente panel.

Inmediatamente se solicita una contraseña. En este primer paso existe una alta probabilidad de que la víctima use una contraseña que perciba como segura, dado que se trata de temas financieros. Así, podría fácilmente reciclar una contraseña que emplee para otros servicios importantes como su cuenta de correo. De esta forma, la recopilación de información sensible por parte del actor malicioso inicia de inmediato.

Luego, se nos presenta el siguiente panel (abajo), donde los operadores nos indican que contamos con un saldo de $100,000.00 para utilizar en un simulador de inversiones. Nos aseguran que su principal interés es que logremos duplicar nuestro dinero en un corto periodo.

Posteriormente, nos informan que necesitan más datos para efectos de la verificación ‘Conozca a su Cliente’ (KYC), ya que argumentan operar un negocio de inversiones legítimas y, por tanto, necesitarían toda la información que los reguladores les exigen.

En la imagen de abajo, podemos observar que esto incluye información como documento de identidad, pasaporte, factura de servicios, estado de cuenta bancario y extracto de tarjeta de crédito.

Al solicitar esta documentación, se profundiza el engaño a la víctima, utilizando mecanismos legítimos de la industria y, simultáneamente, proporcionaría al actor malicioso acceso a valiosos documentos que le permitirían realizar otras acciones suplantando a su víctima, como abrir cuentas en servicios de cambio de criptomonedas.

Finalmente, nos solicitan el pago de los servicios utilizando tarjeta de crédito, aunque también ofrecen otras alternativas de pago, como transferencias a través de Western Union. Emplean la táctica de crear un sentido de urgencia, confesándonos que, por un tiempo limitado, pueden duplicar nuestro depósito inicial de $250 a $500 si lo realizamos lo más pronto posible.

Al investigar las razones sociales asociadas con este sitio, podemos observar una declaración de ingresos que posiblemente está vinculada con la operación. Esto nos permite entender, al menos parcialmente, la escala de la operación.

Como hemos podido apreciar, el malvertising es una forma enfocada de realizar ataques maliciosos. Ya sea mediante fraudes o descargas de malware, los actores maliciosos pueden aprovechar diversas herramientas para concentrar sus esfuerzos en demografías con características particulares, lo que les permite maximizar la victimización de sectores vulnerables de la sociedad.

Este tipo de fraude implica un bajo nivel de riesgo para los criminales y el incentivo es alto. Por ejemplo, en España, una operación similar lograba generar hasta 50 millones de euros cada tres meses. En Latinoamérica, ya ha afectado a múltiples países, como Perú, donde se trata de la misma casa de corretaje “Capitalix”, utilizando el mismo modo de operación.

Para minimizar el impacto de este tipo de campañas, es importante desarrollar instrumentación jurídica adecuada a nivel estatal, así como cuerpos investigativos flexibles que puedan colaborar tanto con el sector privado como con sus homólogos en otros países para detener estos actos que ponen en gran riesgo a ciertos sectores de nuestra población.

Al continuar permitiendo estas acciones y mantener una postura pasiva sobre estos sucesos, solo estaremos invitando a una mayor osadía por parte de los grupos maliciosos, aumentando los riesgos para la sociedad.

Si esta información te ayudó a comprender mejor los peligros asociados con las botnets, por favor ayúdame a crear conciencia compartiéndolo en tus redes sociales y dando tu opinión en los comentarios. Juntos podemos contribuir a informar y prevenir la propagación de estas amenazas cibernéticas.

Referencias:

• Harvard Business Review - Marketing is Everything
• Adlock - How many Ads do we see a day?
• Oregon State University - Got Milk? brief history
• MentalFloss - Milk Ad Campaign
• Statista - Revenue of Google
• Google - How Google Analytics Work
• Google - Predictive Audiences
• Malwarebytes - Malvertising Definition
• Crowdstrike - What is Malvertising
• Investopedia - Return of Interest: How to calculate it and what does it mean.
• Influencer MarketingHub - How much do Youtube Ads Cost?
• Cloudfare - Que es un registrador de dominio?
• Contraparte - Crimen organizado de China opera call centers en México.
• Semana - Asesinatos relacionados con un call center en México.
• Metropoli - Detienen en el Prat a uno de los líderes del grupo que estafó 2.400 millones.
• El Comercio - Así opera la empresa fraudulenta de ‘compra y venta’ de acciones.