Los investigadores descubrieron recientemente un kit de phishing que utiliza tácticas novedosas dirigidas a empleados de la FCC y plataformas de criptomonedas. Los malos actores están utilizando este kit para crear copias carbónicas de páginas de inicio de sesión único (SSO). Estas páginas se distribuyen a través de mensajes de texto, correo electrónico y vishing (phishing de voz), con el pretexto de proteger su cuenta luego de un ataque.
¿Cuál es la táctica novedosa que utilizan los atacantes? Se le pide a la víctima que complete un Captcha usando Captcha. Esta táctica evita que las herramientas de disección automatizadas rastreen e identifiquen el sitio de phishing. Incluso es una táctica inteligente de ingeniería social. ¿Cómo es eso? Incluso puede dar a la víctima una sensación de confianza y dar credibilidad al proceso, ya que normalmente sólo los sitios legítimos utilizan Captcha. Una vez que se completa el captcha, la página de inicio de sesión imita la página legítima de Okta de la FCC.
Escuche a Chris Hadnagy, director ejecutante de Social-Engineer, LLC, conversar sobre esta estafa durante el Podcast 252, Crypto, Phishing y SMiShing… ¡Todopoderoso mío!
