Una red masiva de 75.000 tiendas en línea falsas llamadas 'BogusBazaar' engasó a más de 850.000 personas en EE.UU. y Europa para que realizaran compras, permitiendo a los criminales robar información de tarjetas de crédito e intentar procesar unos 50 millones de dólares en pedidos falsos.
Además, millones de detalles de tarjetas de crédito robadas fueron revender en mercados web oscuros, permitiendo a otros actores de amenazas comprarlos y realizar compras en línea no autorizadas.
Según un informe de la firma alemana de ciberseguridad Security Research Research Labs GmbH (SRLabs), la red BogusBazaar ha intentado tramitar unos 50 millones de dólares en compras falsas desde la operación lanzada hace tres años.
La mayoría de las víctimas se concentran en Estados Unidos y Europa occidental. Al mismo tiempo, prácticamente no hay víctimas de China, que se cree que es la base operativa de la operación de estafa.
Origen de las compras en tiendas BogusBazaar
Una red masiva de tiendas web falsas
BogusBazaar es una operación altamente organizada que ha lanzado más de 75.000 tiendas web falsas desde 2021, pero que recientemente ha disminuido a más de 22.500 sitios activos.
Los ciberdelincuentes organizan tiendas falsas en dominios previamente caducados con una buena reputación con Google y típicamente pretenden vender zapatos y productos de ropa a precios muy bajos.
Los sitios se crean semiautomáticamente y cuentan con nombres y logotipos personalizados, así que hay cierto esfuerzo para elevar la calidad y, con él, la legitimidad percibida de la tienda.
Las páginas de pago de estos sitios recogen los datos de las tarjetas de contacto y tarjetas de crédito de las víctimas o se roban el dinero de las personas a través de PayPal, Stripe y los pagos con tarjeta de crédito por órdenes inexistentes que nunca recibirán.
SRLabs dice que el grupo de ciberdelincuencia está organizado, con equipos distintos con roles dedicados operando bajo un modelo de infraestructura como servicio.
"El grupo ha adoptado un modelo de 'infraestructura como servicio': Un equipo básico es responsable de la gestión de infraestructuras, mientras que una red descentralizada de franquiciados opera tiendas fraudulentas", se lee en el informe de SRLabs.
"El equipo central de BogusBazaar despliega infraestructura y parece operar sólo un pequeño número de tiendas web falsas. El equipo central es responsable de desarrollar software, implementar backends y personalizar varios plugins de WordPress que soportan operaciones de fraude".
Los investigadores dicen que la gerencia y los desarrolladores detrás de la operación están creando plugins de WordPress de WooCommerized que se utilizan para robar dinero y datos. Ese equipo opera sólo un pequeño número de tiendas falsas, posiblemente para pruebas.
La gran mayoría de las tiendas BogusBazaar son operadas por una extensa y descentralizada red de franquiciados, que utilizan las herramientas proporcionadas por el equipo central para gestionar las operaciones diarias de las tiendas.
Las tiendas web, las pasarelas de pago y las aplicaciones de gestión están alojados en infraestructura separada.
Mientras que se cree que la operación se maneja desde China, la mayoría de los servidores BogusBazaar están ubicados en Estados Unidos. Cada uno de estos servidores alberga entre 200 y 500 tiendas web y está escondido detrás de Cloudflare, ofreciendo un grado de anonimato.
SLR ha compartido la lista completa de URLs y IoC relacionadas con BogusBazaar con las autoridades y otras partes interesadas.
BleepingComputer también ha revisado la lista de dominios activos, y aunque la mayoría de las tiendas han sido cerradas y ahora están mostrando errores de Cloudflare, muchos todavía están en funcionamiento.
Confirmando legitimidad de tienda web
Para confirmar que una tienda en línea es auténtica, se recomienda a los consumidores consultar información de contacto, examinar la política de retorno, comprobar si hay sellos de confianza, navegar por el contenido del sitio web en general y comprobar su presencia en las redes sociales.
Al hacer lo anterior, los consumidores pueden establecer si las páginas web se armaron apresuradamente o se crearon con altos estándares profesionales.
Además, muchas de las tiendas web falsas revisadas por BleepingComputadora utilizan una plantilla similar que consiste en una lista de artículos, con el precio original tachado y nuevos precios ofrecidos con un descuento superior al 50%.
Además, lea las revisiones en línea, siga los anuncios de las agencias locales de protección al consumidor y utilice herramientas de chequeras en línea disponibles como esta sugerida por SRLabs para el mercado alemán.