Campañas de phishing utilizan Flipper Zero como cebo

Una nueva campaña de phishing está explotando el creciente interés de los miembros de la comunidad de ciberseguridad hacia Flipper Zero. 

Usted está aquí: Inicio / General / Campañas de phishing utilizan Flipper Zero como cebo

Campañas de phishing utilizan Flipper Zero como cebo

4 enero, 2023 Por Alejandro Santos [Hispasec] Deja un comentario

Una nueva campaña de phishing está explotando el creciente interés de los miembros de la comunidad de ciberseguridad hacia Flipper Zero. 

¿Qué es Flipper Zero?

Flipper Zero es una herramienta portátil para pentesters y hackers en forma de juguete, muchos lo llaman «el tamagotchi para hackers». Está diseñado para interactuar con una gran variedad de sistemas digitales, sistemas de control de acceso, RFID, protocolos de radio y distintos tipos de hardware. Es open-source y por lo tanto personalizable.

Flipper Zero es una herramienta que brinda un gran poder a quien la posee. Esta puede ser utilizada con buenas intenciones para poner a prueba la seguridad de una red o de un entorno, pero también puede ser utilizada con fines maliciosos como por ejemplo captar la radiofrecuencia que emite la llave a distancia de un coche y utilizar Flipper Zero como si fuera la llave de dicho coche.

Tal y como explica nuestro compañero Antonio Gómez:

«Es un producto que cualquiera puede comprar, y no se está haciendo nada ilegal… Podemos tener uno de estos dispositivos en posesión, hay que tener bien claro que estos no deben utilizarse con fines maliciosos...».Antonio Gómez – Una al Día

Phishing actual

Debido al creciente interés que hay en la comunidad de la seguridad por esta versátil herramienta, actualmente hay una muy baja disponibilidad de la misma. Éste contexto está siendo aprovechado para crear campañas de phishing con falsas tiendas que pretenden venderlo.

Estas campañas de phishing fueron descubiertas por el analista de seguridad Dominic Alvieri, quien se percató de la existencia de tres cuentas falsas de Twitter y dos tiendas falsas de Flipper Zero.

Fuente: BleepingComputer

La cuenta falsa de Twitter que se observa en la imagen está respondiendo activamente a los usuarios de Twitter sobre la disponibilidad del producto para aparentar ser legítima y redirigir a los usuarios directamente hacia el phishing donde a la hora de realizar la compra se les solicita que ingresen sus direcciones de correo electrónico, nombres completos y direcciones de envío.

Falsas Flipper Zero shops
Fuentes: BleepingComputer (Izquierda) & Reddit (Derecha)

Luego, las víctimas tienen la opción de pagar utilizando la criptomoneda Ethereum o Bitcoin.

Siempre que exista un gran interés por un producto del que haya escasez de unidades, los ciberdelincuentes verán dicho contexto como una gran oportunidad para llevar a cabo una campaña de phishing a través de tiendas falsas. En este caso, la campaña aprovechando el contexto de Flipper Zero se ha diseñado para engañar a los entusiastas de la seguridad y que renuncien a su información personal y criptomonedas.

Debido a esto, es vital estar atento a estas promociones y tiendas que anuncian «disponibilidad inmediata del producto» e intentar limitarnos a comprar solo en las tiendas oficiales.

Más información:

Fuente: unaaldia.hispasec