La actividad de phishing vinculada al periodo anual de ventas ha aumentado considerablemente, según nuevos hallazgos de KnowBe4 Threat Labs . La empresa examinó 27.061 correos electrónicos de phishing vinculados al Black Friday e informó de señales claras de que los actores amenazantes prepararon sus campañas antes de lo esperado. El primer aumento significativo apareció el 1 de noviembre, cuando los correos electrónicos relacionados con el Black Friday alcanzaron aproximadamente el 8% de todos los mensajes recogidos para el estudio. Aunque el nivel cayó tras el salto inicial, se mantuvo por encima de lo normal durante la primera mitad de noviembre, con una media entre el 4% y el 5%. La tendencia sugiere un enfoque pausado más que un solo estallido de actividad. El patrón también muestra que los atacantes se centran en los usuarios que empiezan a buscar descuentos anticipados antes de que empiecen las promociones oficiales.
Los investigadores de KnowBe4 señalaron que el contenido de los correos de phishing seguía temas previsibles. Muchos mensajes se basaban en promesas de grandes descuentos u ofertas urgentes diseñadas para empujar a los compradores hacia páginas falsas. Los investigadores afirmaron que los actores amenazantes intentan llegar a los consumidores antes de que los minoristas legítimos empiecen a anunciar grandes ventas. La actividad temprana da a los delincuentes más tiempo para refinar plantillas, rotar dominios, probar formatos de mensajes y adaptarse a los sistemas de filtrado. El objetivo es asegurar que los sitios fraudulentos sigan activos durante el pico de las compras online, cuando las víctimas tienen menos probabilidades de examinar los enlaces.
Actividad temprana y patrones regionales
El análisis mostró que el 84% de los correos relacionados con el Black Friday se hacían pasar por un conocido sitio de seguimiento de ofertas en lugar de un minorista específico. Entre las campañas que suplantaron a empresas individuales, Amazon apareció en el 52% de los casos y Costco en el 13%. La selección de marcas objetivo varió según el país. En Francia y el mercado del Benelux, la actividad de phishing comenzó alrededor del 1 al 3 de noviembre. En Estados Unidos, Alemania y los Países Bajos, las campañas comenzaron entre el 5 y el 12 de noviembre. En el Reino Unido y Sudáfrica, los correos electrónicos afirmaban frecuentemente originarse en Amazon. En Francia y la región del Benelux, Lidl era un objetivo habitual para suplantaciones. En Alemania, la mayoría de las actividades de phishing relacionadas con el comercio al por menor se hicieron pasar por IKEA. Estas variaciones reflejan los hábitos de compra y la familiaridad de marca de los consumidores en cada región, que los atacantes parecen estudiar detenidamente al construir sus mensajes.
Los investigadores observaron que los delincuentes están invirtiendo cada vez más en la calidad de sitios de venta falsos vinculados a correos electrónicos de phishing. Actualmente, los sitios suelen reflejar el diseño y la imagen de marca de los grandes minoristas con mayor precisión que en años anteriores. Muchos incluyen funciones dinámicas como temporizadores de cuenta atrás o widgets de atención al cliente que imitan funciones legítimas. KnowBe4 afirmó que las herramientas generativas recientes permiten a los delincuentes crear interfaces limpias y visualmente convincentes que reducen la sospecha entre los compradores apresurados.
Técnicas de escaparate falsas y riesgos continuos
Los delincuentes ya no se centran solo en el robo rápido de pequeños pagos. En cambio, muchas campañas buscan capturar el acceso a la cuenta o las credenciales de pago que puedan generar beneficios a largo plazo. Algunos sitios solicitan los datos de acceso vinculados a cuentas de minoristas, mientras que otros piden a las víctimas que introduzcan la información completa de la tarjeta de pago antes de mostrar un mensaje de error que afirme que la compra no se ha realizado.
Los investigadores también destacaron el papel de los anuncios pagados para dirigir a los usuarios a estos sitios. Los anuncios fraudulentos colocados en plataformas como Instagram y Facebook se parecen a promociones genuinas y suelen dirigirse a audiencias que ya han buscado artículos similares. Este método aumenta la probabilidad de que las víctimas hagan clic sin cuestionar la fuente. Una vez en la página falsa, el usuario se encuentra con un diseño que se ajusta mucho al sitio legítimo, reduciendo así la probabilidad de identificar inconsistencias.
KnowBe4 aconsejó a los compradores que se acerquen con cautela a los enlaces no solicitados durante todo el periodo de ventas. Comprobaciones sencillas, como confirmar el nombre de dominio, visitar directamente los comercios y evitar descuentos inusualmente profundos, pueden reducir el riesgo. Los compradores deben mantenerse atentos incluso cuando las ofertas parezcan atractivas y evitar realizar compras en páginas que soliciten información personal que normalmente no es obligatoria.