Relatório de pesquisa de ameaças do FortiGuard Labs
A Black Friday e a Cyber Monday (segunda eletrônica) dão início à temporada de compras de fim de ano. Na verdade, 30% de todas as vendas no varejo ocorrem entre a Black Friday e o dia de Natal. E desde o advento da Cyber Monday, lojas físicas e de comércio eletrônico devem gerar uma parte significativa de sua receita anual neste fim de semana de compras “feriado”, muitas vezes permitindo que os varejistas recuperem a receita e cumpram as metas e números de vendas para o ano .
Antes deste evento, o FortiGuard Labs observou cada vez mais golpes envolvendo sites falsificados que parecem ser sites legítimos de ecommerce. Dizemos “parece ser” porque, para olhos não treinados, esses sites podem parecer seguros, mas se você não prestar atenção, eles podem roubar seu pagamento (e possivelmente informações bancárias) por meio de uma compra que você considerou legítima. Os sites falsos de ecommerce estão se tornando rapidamente a última ameaça aos consumidores e cobrem uma ampla gama de produtos para atrair compradores em potencial.
Recentemente, encontramos um golpe ativo que aproveita a aparência das maiores empresas do mundo e suas respectivas marcas registradas para obrigar e atrair as vítimas a fazer compras em seus sites. Esses sites não são de forma alguma afiliados ao proprietário da marca registrada / IP e são reconhecíveis em parte porque usam o mesmo modelo repetidamente em um jogo digital de whack-a-mole (o que significa que assim que um site é encerrado outro um aparece imediatamente em outro lugar).
Várias das marcas de destaque que documentamos incluem:
- Blink (Amazon)
- Oculus (Facebook)
- Shimano
Outras marcas conhecidas violadas incluem:
- Coleman (equipamento de acampamento)
- Ninja (eletrodomésticos)
- Nu Wave (eletrodomésticos)
- Ryobi (ferramentas elétricas)
- Makita (ferramentas elétricas)
Também observamos outros que já foram retirados:
- Keurig
- Nespresso
Framework comum:
Os sites que observamos têm as seguintes características em comum:
- Os nomes de domínio foram registrados apenas por alguns dias a alguns meses
- Todos os sites são registrados com o mesmo registrador
- Eles usam domínios de nível superior .TOP e .SHOP (.com também é comum)
- Há várias imagens roubadas
- Há vários erros gramaticais e inconsistências nas declarações
- Os botões de mídia social não funcionam em lugar nenhum ou vão para contas que não existem ou foram excluídas
- Seus provedores de hospedagem na web utilizam redes de entrega de conteúdo (CDN) para permanecer anônimos (por meio de um endereço IP que não pode ser rastreado)
Milwauketools.shop (registrado recentemente em 21/10/21)
Milwaukee Tools é uma empresa de ferramentas bem conhecida e estabelecida globalmente com sede nos Estados Unidos. Os produtos da Milwaukee Tools geralmente são vendidos por revendedores autorizados online ou em lojas. Encontramos um site online registrado recentemente, milwauketools [.] Shop, que tinha a aparência de um varejista de comércio eletrônico profissional.
O que chamou a atenção imediatamente dos pesquisadores (além do nome de domínio com grafia incorreta) foi o preço muito baixo no produto:
“2696-26 M18 LITHIUM-ION CORDLESS COMBO KIT DE 6 FERRAMENTAS” por $ 99,00.
Exceto para modelos / linhas descontinuados, esses preços bastante reduzidos (esse kit normalmente é vendido por US $ 659) é muitas vezes a marca registrada de um golpe. No entanto, para o olho não treinado, a oferta de tempo limitado por meio do cronômetro de contagem regressiva, a aparência profissional do site, provavelmente chamará a atenção de um comprador por impulso. E é isso que o mau ator por trás deste site está esperando. Eles estão esperando por um comprador por impulso que não esteja prestando atenção para ser vítima de seu golpe.
Falhas no site
Embora as seções Sobre os EUA e a página deste site pareçam ter sido escritas por alguém com um bom domínio da língua inglesa (provavelmente roubado de um site legítimo), a string “milwauketools” (figura 3) indica um pequeno erro que nos diz que isso não está relacionado à organização oficial da Milwaukee Tools, embora o logotipo da marca registrada na captura de tela abaixo tenha a grafia correta. Isso sugere que o ator estava seguindo um modelo durante a criação deste site:
Outra bandeira vermelha é que o domínio foi criado no dia 21, o que, no momento em que este blog estava sendo escrito, ele tinha apenas cinco dias.
Olhando para o código-fonte do carrinho de compras, vemos a string “刷新 按钮“, que se traduz em um “botão de atualização”. Talvez isso seja um indicativo das origens do grupo por trás deste site, ou o carrinho de compras foi reaproveitado de outro lugar.
Uma visita ao próprio site da empresa (milwaukeetool.com) revela que eles não vendem diretamente, o que costuma ser o caso de muitas marcas importantes:
Uma consulta de compras no Bing.com destacou que o menor preço oficial para este KIT COMBO COM 6 FERRAMENTAS SEM FIO 2696-26 M18 M18 LITHIUM-ION é $ 613,00 (USD).
Análise adicional
À medida que os pesquisadores investigaram mais profundamente usando pesquisas OSINT (Inteligência de código aberto) nos principais mecanismos de pesquisa, foi encontrado mais 19 sites de varejo online usando o mesmo modelo e carrinhos de compras que o Milwauketools.shop, sugerindo que todos eles fazem parte de um golpe maior. Isso foi confirmado ainda mais quando os pesquisadores determinaram que todos foram registrados no mesmo registrador. Incluídos nas descobertas estavam sites que vendem Oculus (Facebook), Blink (Amazon), Shimano e muitos mais.
Template do Oculus:
No entanto, se for mais a fundo, podemos notar que o Oculus Quest 2 está usando um modelo semelhante ao site Milwauketools.shop. Ele também contém o mesmo cronômetro de contagem regressiva e oferta por tempo limitado, junto com o preço baixo de $ 99 USD para algo que tem um preço sugerido de $ 699.
Template do Blink:
O modelo do Blink tem a mesma aparência do site original:
E, novamente, o modelo do blink parece convincente.
Mas se examinarmos mais profundamente, veremos novamente o mesmo cronômetro de contagem regressiva e a mesma oferta por tempo limitado de $ 99 para algo que tem um preço sugerido de $ 379:
Template do Shimano:
O modelo Shimano também se parece com os três anteriores:
Com os mesmos preços baixos.
Veja o mesmo cronômetro de contagem regressiva, oferta por tempo limitado e o preço de $ 99 para algo que tem um preço sugerido de $ 419:
É importante observar que essas semelhanças se repetem em todos os sites que identificamos.
Marcas Adicionais:
Tudo na mesma família
Finalmente, a seção Sobre nós para cada um desses sites não contém apenas o mesmo palavreado, mas são modelados de maneira semelhante, embora com uma ligeira diferença da página MilwaukeTools.shop:
Avaliação
Cada um desses domínios fraudulentos tem, em média, poucos meses, com o mais antigo deles no momento em que este documento foi escrito (Intexpool-us.com) tendo mais de 5 meses.
Na captura de tela abaixo, listamos os domínios de outros sites de varejo de imitação encontrados pelo FortiGuard Labs, suas datas de criação semelhantes e seu registro comum e uso de CDN, junto com o uso de um modelo comum:
Coincidentemente, durante o tempo da investigação, a Shimano emitiu um comunicado à imprensa alertando os clientes sobre sites de golpes que usam sua marca registrada, informando que eles estão tentando remover os sites de imitação por meios legais, conforme observado neste artigo.
Perguntas e respostas
Como tudo isso é possível? Construir um site não é uma grande perda de tempo?
O software de website e ecommerce evoluiu consideravelmente na última década. Com o uso difundido de sistemas de gerenciamento de conteúdo (CMS), onde CMS e carrinhos de compras são frequentemente agrupados com uma rede de distribuição de conteúdo (CDN) por um host da web, os malfeitores são capazes de implantar sites de ecommerce de forma recorde.
O que exatamente é CDN?
Um CDN permite essencialmente a entrega rápida e eficiente do conteúdo do site para solicitações de todo o mundo. Ele faz isso armazenando caches locais do site em várias localizações geográficas. Ele faz isso conectando uma rede de servidores para entregar conteúdo da forma mais rápida e econômica possível. Um provedor de CDN coloca servidores em pontos de troca de Internet (IXPs) entre diferentes provedores de Internet para que eles possam distribuir conteúdo geograficamente mais perto dos visitantes do site, permitindo que eles experimentem carregamentos de página mais rápidos.
Os CDNs já foram domínio apenas de grandes corporações. No entanto, como o preço do CDN caiu bastante, muitos provedores de hospedagem na web que oferecem carrinhos de compras também estão fornecendo serviços de CDN. Isso tem uma vantagem adicional para os cibercriminosos, pois também permite que o endereço IP de origem seja ocultado, o que significa que muitos sites (bons e ruins) geralmente compartilham o mesmo endereço IP. Isso não apenas torna a atribuição difícil, mas também dá ao mau ator outra camada de anonimato.
Como as pessoas entram nesses sites?
As pessoas geralmente encontram esses sites por meio de pesquisas simples por palavras-chave nos mecanismos de busca. Eles simplesmente digitam o produto específico que procuram e o produto aparece na guia de compras ou é promovido por meio de colocação de palavra-chave. Outras rotas de mercado incluem promoções de mídia social.
Eu e / ou minha empresa tivemos nossa página que está sendo violada? O que posso fazer?
Você terá que contar com os registradores do domínio para agir. Devido ao anonimato dos registros WHOIS, junto com o anonimato do verdadeiro endereço IP do malfeitor devido ao uso do CDN, pode ser muito difícil descobrir quem ou o que está por trás do domínio em questão. Entrar em contato com o registrador listado nos registros WHOIS é o melhor curso de ação, já que muitos registradores respeitáveis têm um formulário de contato de abuso para domínios que violam seus termos de contrato de serviço.
Nós sabemos quem são esses atores da ameaça?
Infelizmente não. Como o registrador dos domínios e o uso do CDN para esses sites permitem um alto grau de anonimato, não sabemos quem esses golpistas realmente são ou se estão trabalhando sozinhos ou como parte de um grupo maior. No entanto, devido ao uso dos mesmos modelos e do mesmo modus operandi, é altamente provável que este seja o trabalho de um grupo. Mas também existe a possibilidade de que esse modelo simplesmente esteja sendo reutilizado por vários indivíduos e golpistas.
O que fazer e o que não fazer
Realize a devida diligência e examine os sites em busca de inconsistências, como fontes incompatíveis, uso inconsistente de cores, alterações no uso do idioma, preços ou descrições diferentes em vários textos, etc.
Verifique os registros WHOIS para ver há quanto tempo o domínio existe.
Procure erros de digitação e gramática (já que a maioria das empresas contrata editores de texto)
Envie um e-mail para a empresa que você acha que pode estar sendo falsificada antes de fazer uma compra.
Não compre um item impulsivamente se ele for muito barato. Como o velho ditado, se “é bom demais para ser verdade”, provavelmente é.
Não entre em pânico. Se você acha que foi vítima de um golpe, ligue imediatamente para a administradora do cartão de crédito e informe-a sobre um possível golpe.
Conclusão da proliferação do ecommerce falso
Conforme a Internet amadurece, o mesmo acontece com o software. Como resultado, a lacuna entre os sites de ecommerce profissionais e individuais diminuiu consideravelmente. Uma área que antes era relegada ao conhecimento de desenvolvedores da web há mais de uma década, a capacidade de construir e implantar um carrinho de compras utilizável (e não rastreável) como parte de um esquema fraudulento de site, agora pode ser facilmente projetada por qualquer pessoa com conhecimento prático de sistemas de gerenciamento de conteúdo (CMS). Isso está tornando cada vez mais difícil detectar sites de golpes sem fazer algumas pesquisas. Na verdade, alguém com conhecimento técnico moderado pode colocar um site de ecommerce com aparência profissional online em algumas horas, especialmente se estiver usando um modelo comprovado.
Os usuários são fortemente aconselhados a revisar cuidadosamente qualquer site com o qual não estejam familiarizados antes de fazer uma compra.
Sempre que possível, o FortiGuard Labs contatou os proprietários da marca comercial / propriedade intelectual que estão sendo violados como uma notificação de cortesia.
REFERÊNCIAS:
https://www.fortinet.com/fortiguard/labs?utm_source=blog&utm_campaign=fortiguardlabs