Smartphones: el siguiente objetivo del fraude de facturación de un solo clic

Artículo original de Noriaki Hayashi (Senior Threat Researcher)

El fraude de facturación de un solo clic, un esquema conocido por dirigirse a los usuarios de PC de Japón, ahora parece que también tiene como objetivo a los usuarios de los teléfonos multifunción.

El esquema, tal y como su nombre sugiere, engaña a las víctimas para que se registren y paguen por recibir un servicio determinado tras ser dirigidos de forma ilegítima a un sitio Web específico. Los casos de ataques llevados a cabo con éxito en Japón han aumentado desde 2004 y, en noviembre de 2009, ya sumaban 903 investigaciones en la Agencia de promoción de la tecnología de la información en Japón.

Los ataques típicos incluyen el envío de spam a la víctima con un enlace a un sitio Web que aloja vídeos gratuitos. La listas de sitios Web presentan vídeos con títulos sensacionalistas para captar la atención de los usuarios. Al intentar ver uno de los vídeos se muestra un tráiler, que explica el motivo de que la visualización sea gratuita.

Clic para ampliar la imagen

Cuando finaliza el tráiler, se muestra un enlace que indica “ver más”, en el que los usuarios deben hacer clic para, supuestamente, ver el vídeo que en un principio deseaban ver. En lugar de ver el vídeo, se redirige a los usuarios a una página en la que deben registrarse para convertirse en miembros y donde se les indica que deben pagar una tarifa. La ventana que informa a los usuarios del pago se mostrará continuamente en la pantalla a menos que se abone la cantidad indicada.

Clic para ampliar la imagen

Durante la supervisión de sitios relacionados con esta amenaza, detecté una URL interesante que contenía un código de respuesta rápida (QR) con un texto que decía “Por favor, visite este sitio a través de un teléfono móvil”.

Clic para ampliar la imagen

Tras escanear el código, observé que conducía a la misma URL que la que contenía el código QR, excepto que esta mostraba un sitio Web para adultos al acceder a través de un dispositivo móvil.

Clic para ampliar la imagen

Al comprobar los Términos y condiciones detecté que el sitio carga una tarifa de servicio de 49,800 yenes y está configurado para cobrar al usuario inmediatamente después del registro.

Al hacer clic en uno de los vídeos del sitio, se accede a una página de verificación de la edad. Una vez que los usuarios confirman su edad y hacen clic en “Registrarse”, se genera otro mensaje que indica que los datos del dispositivo móvil se están transfiriendo y procesando para el registro.

Clic para ampliar la imagen

Puede imaginarse el grado de alarma que puede ocasionar este mensaje para un usuario medio, ya que el sitio Web en cuestión es un sitio para adultos. Sin embargo, la tranquilizadora verdad es que el sitio no puede obtener información del dispositivo ni enviarla a un sitio Web remoto. El sitio simplemente muestra información sobre el dispositivo como la dirección IP o un ID de cliente y un ID de dispositivo que supuestamente se han asignado al usuario para intentar asustarle y presionarle para que pague.

No obstante, la relevancia de este fraude se basa en que los usuarios pueden estar convencidos de que sus datos realmente se han enviado al sitio para adultos. Por este motivo, puede que estén dispuestos a pagar la cantidad especificada, ya que si no lo hacen podrían tener problemas y sentirse avergonzados.

¿Por qué los ciberdelincuentes que siguen este tipo de esquema se dirigen a los usuarios de los teléfonos multifunción? Supongo que se aprovechan del hecho de que los usuarios de dispositivos móviles todavía no son del todo conscientes de que se están convirtiendo en uno de los objetivos principales de la ciberdelincuencia. Además, los teléfonos multifunción tienen pantallas pequeñas en las que las URL no se muestran totalmente, lo que complica la verificación de la URL por parte de los usuarios. Los usuarios de teléfonos multifunción tienden a guardar fácilmente información personal como fotos privadas, direcciones y programas en estos dispositivos, con lo que se convierten en objetivos prioritarios del robo de información.

Por ello se recomienda encarecidamente a los usuarios que consideren la opción de invertir en una aplicación de seguridad para móviles eficaz. Los usuarios de los dispositivos móviles iPhone y Android pueden probar respectivamente las aplicaciones Trend Micro Smart Surfing for iPhone y Trend Micro Mobile Security – Personal Edition.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>