Correos electrónicos de phishing que suplantan la información de tarjetas de crédito de Qantas

Correos electrónicos falsos de Qantas en una sofisticada estafa de phishing roban información personal y de tarjetas de crédito de los australianos, eludiendo los principales filtros de seguridad de correo electrónico.

La aerolínea australiana Qantas está siendo atacada por delincuentes que envían correos electrónicos falsos que dicen ser de la aerolínea. Los expertos en seguridad de Cofense Intelligence, quienes descubrieron este ataque, descubrieron que estos correos electrónicos convincentes engañan a los usuarios para que revelen la información de su tarjeta de crédito e información personal, como números de teléfono y direcciones.

Estos correos electrónicos falsos de Qantas imitan los correos electrónicos de marketing auténticos, usando los mismos colores y diseño que los auténticos, con la imagen de marca y enlaces funcionales adecuados. Un truco ingenioso que usaron los delincuentes fue incluir un enlace para cancelar la suscripción, igual que los correos electrónicos de marketing auténticos.

Sin embargo, los enlaces de los correos electrónicos falsos no dirigían al sitio web oficial de Qantas, sino a otros sitios web. Los expertos creen que los delincuentes podrían haber usado estos enlaces falsos de cancelación de suscripción para ver qué direcciones de correo electrónico eran reales y estaban activas.

Curiosamente, según el informe de Cofense, los correos electrónicos falsos mencionaban que Qantas celebraba su 103.º aniversario. Sin embargo, el 103.º aniversario de Qantas se celebró en 2023, hace dos años. Este fue uno de los pocos errores en los correos electrónicos, por lo demás muy convincentes.

Los correos electrónicos engañaban a los usuarios para que hicieran clic en enlaces a sitios web falsos, que a menudo contenían la frase "auth/auhs1" seguida de palabras aleatorias relacionadas con Qantas o cupones. Estos sitios web generalmente desaparecían en un día y solicitaban información personal en un proceso de varios pasos, incluyendo nombre, número de teléfono, correo electrónico y domicilio. Esta información de contacto recopilada, junto con la fecha de nacimiento, podía utilizarse para estafas dirigidas o para adivinar contraseñas.

Estos sitios web falsos supuestamente intentaron configurar la autenticación multifactor después de que el usuario ingresara la información de su tarjeta de crédito, pero no lo lograron. Los expertos creen que este paso adicional se añadió para engañar a las víctimas y hacerles creer que el problema estaba en su sitio web y no en el suyo.

Los investigadores observaron que los ciberdelincuentes responsables de esta campaña parecían dirigirse especialmente a personas en Australia. Si bien algunas personas en Estados Unidos también recibieron estos correos electrónicos, las ofertas se emitían en dólares australianos, y Qantas tiene su sede en Australia.

Esto sugiere que los atacantes preferían a las víctimas australianas. Además, destacaron que la campaña logró eludir múltiples pasarelas de correo electrónico seguras (SEG), como Microsoft APT, Proofpoint y Mimecast, lo que indica un enfoque sofisticado por parte de los atacantes.

Esta campaña comenzó alrededor de febrero de 2025, pero pareció desacelerarse a mediados de marzo de 2025. Muestra cómo los delincuentes intentan constantemente formas nuevas y sofisticadas de engañar a las personas en línea, por lo que es importante que todos tengan mucho cuidado con los correos electrónicos que reciben y los sitios web que visitan.