Así es Ticket Heist, la peligrosa campaña de Internet que estafa a usuarios con entradas falsas de los JJOO de París
La firma de ciberseguridad QuoIntelligence ha descubierto una extensa red global de dominios rusos que buscan estafar a ciudadanos.
10 julio, 2024 18:07Comprar entradas para los Juegos Olímpicos de París en España puede ser todo un riesgo. Las ciberestafas son tan extensas que se han ido colando entre los primeros puestos de los resultados de búsqueda de Google. Lo que pocos imaginaban era la existencia de una red de dominios fraudulentos a gran escala que buscaban estafar en masa a usuarios vendiendo entradas falsas para los JJ.OO de este año.
Así lo relata una investigación de la empresa de ciberseguridad QuoIntelligence en la que se puede ver una gigantesca campaña de fraudes para estafar a usuarios rusos. Apodada 'Ticket Heist' por los investigadores, esta campaña tiene como objetivo la población rusa, conformada por más de 700 nombres de dominio que ofertaban estas entradas.
Ticket Heist no es en absoluto algo nuevo. Algunos de sus dominios datan del año 2022, y desde QuoIntelligence creen que se registraron alrededor de 20 nuevos dominios cada mes hasta este momento. Ya hay algunas víctimas que aseguran que estas webs de habla rusa se aprovechan de la expectación en torno a los Juegos Olímpicos de París.
Estafa de los Juegos Olímpicos
Todo comienza en 2023, con la firma de ciberseguridad descubriendo una importante afluencia en conversaciones sobre los Juegos Olímpicos de París. Las polémicas respecto a la presencia de atletas rusos bajo banderas neutrales avivaron esta llama, lo que llevó a que QuoIntelligence revisara el tema y buscase movimientos maliciosos.
Los investigadores rastrearon algunas de las palabras más importantes relacionadas con los Juegos Olímpicos para encontrar dominios que hubieran sido registrados con anterioridad. De esta forma, Ticket Heist salió a flote; una red a gran escala que alojaba 708 dominios web que se posicionaban como páginas de compra de entradas y alojamiento para los JJ. OO.
Lejos de ser algo chapucero, los responsables detrás de Ticket Heist se esmeraron en desarrollar los dominios y su traducción, haciendo parecer que estos eran legítimos. QuoIntelligence cita errores ortográficos y gramaticales fruto de las traducciones simples del ruso al inglés. Pese a ello, "el sitio web y su experiencia de usuario eran comparables a los de un sitio de gama alta", dice la firma.
Un sistema de interfaz de usuario que, por cierto, está presente en absolutamente todos los dominios ubicados dentro de Ticket Heist, con pequeñas variaciones. Las investigaciones de la firma llevaron a la creencia de que el objetivo de los hackers era robar dinero y no tanto credenciales de tarjetas de crédito.
Los atacantes no solo aprovecharon los Juegos Olímpicos de París, sino que intentaron seducir a sus víctimas con otros eventos deportivos y musicales, como la Eurocopa. También descubrieron webs de venta de entradas de conciertos con bandas famosas involucradas, como Rammstein, Metallica, o Twenty One Pilots.
Lo más llamativo del asunto es que prácticamente la mayoría de los dominios alojados en Ticket Heist estaban en ruso. Este detalle, sumado a la presencia de datos de contacto con teléfonos y correos rusos, da a entender a los investigadores que el objetivo era estafar principalmente a ciudadanos rusos. De hecho, muchas de las entradas vendidas estaban localizadas en Moscú y otras ciudades rusas.
¿Cómo han podido saber que Ticket Heist era una estafa? Al intentar hacer una compra a través de estos dominios, QuoIntelligence descubrió que las transacciones se realizaban a través de la plataforma Stripe, y que el nombre de la empresa detrás de estos dominios era VIP Events Team, una empresa con sede en Nueva York pero ubicada en Tbilisi, Georgia.
Todos los dominios de Ticket Heist estaban alojados en la misma IP, la cual estaba a su vez vinculada a un proveedor conocido por realizar actividades maliciosas de estafa en servicios web de todo tipo. Otros aspectos, como los registros DNS y los archivos JavaScript de los subdominios en cuestión, hizo que la empresa de seguridad pudiera descubrir la red al total.
Otro punto a destacar es que hasta el 98% de los dominios vinculados de alguna forma a Ticket Heist estaban libres de malware. Esto apoya la idea del intento de robo monetario a través de la pura estafa, y no tanto mediante el uso de software malicioso de ningún tipo. Eso sí, sí se aprovechan en tácticas de ingeniería social, como el inflar el precio de las entradas para generar una sensación de exclusividad.
Es tremendamente importante que a la hora de comprar este tipo de entradas, el usuario pueda verificar la autenticidad de los dominios que visita y sobre todo la presencia de software malicioso que pueda llevarlo a una estafa segura. Especialmente en eventos de alto calado, que puedan provocar un aumento de este tipo de campañas de estafa maliciosa.
A juicio de QuoIntelligence, que pudo identificar todos estos dominios este mismo mes de julio, los Juegos Olímpicos de París y la UEFA EURO 2024 son los eventos que presentan un mayor nivel de riesgo de ser aprovechados para estafar a usuarios mediante Ticket Heist. Además, QuoIntelligence descubrió que todos los dominios se gestionan a través de Cloudflare, y que no hay una investigación para acabar con ellos activa de momento.