Comprendiendo los fraudes de las tarjetas de regalo

A raíz de una investigación interna, llevada a cabo por el equipo de analistas del servicio de Digital Risk Protection en Telefónica Tech, se descubrió un esquema mucho más complejo a partir de una URL fraudulenta donde se suplantaba a una empresa del sector retail. Lo que en principio parecía ser una web fraudulenta aislada, acabó siendo una de miles de webs fraudulentas dirigidas contra distintas empresas del sector retail que utilizaban la misma estructura.

A partir de una captura de pantalla remitida por un usuario que se había percatado de que una URL a la que estaba accediendo era posiblemente una web fraudulenta, fuimos capaces de localizar un esquema de fraude bastante complejo que intentaba obtener los datos de los usuarios a cambio de una supuesta tarjeta regalo por valor de 500€. En la imagen remitida por este usuario, que realmente era una captura de pantalla de su dispositivo móvil, si bien se podía ver el contenido de la web, solo se apreciaba parte de la URL.

Figura1. Captura de pantalla remitida por usuario

Por nuestra experiencia tratando este tipo de fraudes, sabíamos que sin la URL completa de acceso a la página en cuestión era muy complicado poder localizarla. En la imagen aportada únicamente se podía apreciar el dominio de la URL, información en principio insuficiente para poder acceder al fraude.

Una de las opciones planteadas fue introducir el dominio en el buscador web, pero en vez de en el buscador normal, el cual no dio ningún resultado viable para localizar la web fraudulenta, se decidió introducir el dominio en el buscador de imágenes por si de esa manera obteníamos algún dato que pudiese ser de utilidad. Esta opción resultó ser clave para desentramar que esa web no era más que un granito de arena en el desierto.

Una de las imágenes asociadas a la búsqueda introducida, retornaba el icono de una caja de regalo con el logo de la empresa a la que se estaba suplantando. Al abrir el enlace asociado, fuimos remitidos a una página de la red social Pinterest, en donde un usuario había estado compartiendo imágenes asociadas a estos fraudes. Si bien la mayoría de los enlaces asociados a estas imágenes localizadas en esta página de Pinterest ya no estaban disponibles, una de las mismas, nos remitía al fraude que estábamos buscando. Asimismo, gracias a esta página de Pinterest también descubrimos que este fraude en cuestión no iba únicamente dirigido contra nuestra empresa inicial, sino contra varias compañías pertenecientes al sector retail y que no afectaba solo a España, sino que era un fraude a nivel internacional.

Figura2. Página de Pinterest con imágenes de los fraudes

Una vez localizada la URL completa, además de solicitar a nuestro equipo de respuesta que interviniera para dar de baja este fraude, utilizamos una popular herramienta online que analiza cualquier URL y que también es capaz de mostrar información detallada de todos los recursos que ésta solicita, para ver si podíamos localizar más fraudes similares. Gracias a esta búsqueda, hallamos una serie de URLs que utilizaban el mismo esquema, suplantando a varias de las empresas del sector retail que teníamos localizadas.

En este punto y teniendo ya varias URLs distintas para comparar, nos percatamos de un hecho crucial para la investigación y era que para todas las URLs localizadas para una misma empresa, se estaba utilizando el mismo identificador numérico. Explicado de manera sencilla y para que se entienda mejor, en ese momento éramos capaces de replicar el fraude a partir de una URL o dominio que supiéramos que tenía este engaño asociado, para cada una de las otras empresas cuyo identificador único teníamos localizado de la siguiente manera:

http://dominio/c/identificadorempresa

Ahora bien y pese a todo lo que habíamos descubierto, sabíamos que este fraude debía ser mucho más grande. Por ello, una vez teníamos claro que la estructura utilizada en estas URLs era la misma, buscamos y comparamos las direcciones IP en las que estaban alojados los fraudes, para ver si estaban hospedadas en la misma dirección IP. Esto acabó siendo bastante fructuoso, porque como suponíamos, todas estas páginas estaban alojadas en la dirección IP 34.XX.XX.54. Buscando para intentar encontrar qué dominios se encontraban alojados en esa dirección IP, fuimos capaces de hallar más de 1500 dominios alojados en la misma.

Figura3. Listado de los dominios alojados en la dirección IP 34.XX.XX.54

Finalmente, y a partir de la información de interés de la que disponíamos: el listado de los dominios alojados en la dirección IP 34.XX.XX.54 y los identificadores únicos localizados para las distintas empresas afectadas, desarrollamos un script que iba formando las URLs para todos los dominios localizados añadiendo el identificador correspondiente y que a su vez iba comprobando si estás URLs resolvían. De esta manera llegamos a localizar hasta 95 URLs activas fraudulentas para nuestra empresa inicial. La comprobación de si las páginas resolvían o no, la introdujimos por el simple hecho de que muchos de estos fraudes ya no estaban disponibles, entre otros motivos porque nuestro equipo de respuesta ya había actuado contra alguno de ellos.

Actualmente, si bien muchos de estos fraudes ya no están activos, muchos siguen estando operativos y desde el servicio se están buscando soluciones para intentar actuar en bloque contra la totalidad de los fraudes. En definitiva, cuando se navega por internet hay que tener mucho cuidado con este tipo de webs fraudulentas que intentan obtener información de interés y en muchos casos sensible de los usuarios despistados.