Según el proveedor de inteligencia de amenazas QuoIntelligence, una amplia red de 708 dominios web fraudulentos se está utilizando para vender entradas falsas para eventos deportivos y musicales, principalmente a un público de habla rusa. Dos de estos dominios, ‘ticket-paris24[.]com’ y ‘tickets-paris24′[.]com’, albergan sitios web convincentes que aparentemente permiten a los usuarios comprar entradas para sus eventos preferidos durante los próximos Juegos Olímpicos de Verano y elegir alojamiento en París. Los investigadores del proveedor de inteligencia de amenazas QuoIntelligence detectaron la operación, denominada Ticket Heist, al escanear palabras clave específicas asociadas con los Juegos Olímpicos a fines de 2023. Plataformas convincentes de venta de entradas para los Juegos Olímpicos, entradas a precios excesivos En diciembre de 2023, un equipo de QuoIntelligence comenzó a investigar posibles esquemas de fraude destinados a atraer a personas interesadas en comprar entradas para los Juegos Olímpicos de Verano de París 2024, que comenzarán el 26 de julio. Los dos portales de venta de entradas para los Juegos Olímpicos que encontraron tenían una interfaz de usuario (IU) similar a los sitios legítimos, a pesar de pequeños errores de ortografía y gramática que, según la firma de inteligencia de amenazas, probablemente se debían a la traducción directa del ruso al inglés. Página de destino del dominio ticket-paris24[.]Sin embargo, un detalle llamó la atención de los investigadores: los precios de las entradas que se muestran están inflados en comparación con los que ofrecen los sitios de venta de entradas legítimos. “Por ejemplo, un evento aleatorio y una ubicación de asiento en el sitio web oficial podrían costar menos de 100 €, mientras que las mismas entradas y ubicaciones en los sitios web fraudulentos tenían un precio de un mínimo de 300 €, llegando a menudo a 1000 €”, se lee en el informe. Basándose en los registradores de dominio utilizados y el contenido del sitio web, QuoIntelligence estimó que estos sitios web se dirigen principalmente a individuos rusos en todo el mundo, explotando potencialmente su necesidad de eludir las sanciones para acceder a ciertos eventos. “La sofisticación observada en estos sitios web fraudulentos fue inesperada, lo que sugiere un alto nivel de motivación y una meticulosa atención a los detalles por parte de los atacantes detrás de esta campaña. Esto indica su intención de maximizar el éxito de sus actividades fraudulentas dirigidas a los fanáticos”, agregaron los investigadores. Compañía registrada en Nueva York, operadores con sede en Tbilisi Después de intentar comprar entradas en los sitios web fraudulentos, los investigadores de QuoIntelligence descubrieron que los pagos se realizan a través de Stripe, una plataforma legítima de procesamiento de pagos, y que las transacciones solo se permiten cuando la tarjeta de la víctima tiene fondos suficientes. Esto sugiere que la motivación detrás de Ticket Heist es robar dinero en lugar de recopilar información bancaria y de tarjetas de crédito. Redirección a la página de pago de Stripe. Fuente: QuoIntelligenceEl intento de compra también llevó a los investigadores a encontrar información sobre la empresa asociada con los sitios web fraudulentos. La empresa se llama VIP Events Team LLC y se constituyó legalmente en Nueva York el 26 de noviembre de 2021. Sin embargo, no tiene un sitio web y los investigadores no pudieron encontrar información relacionada en Google, redes sociales, TrustPilot o cualquier otra fuente de inteligencia de código abierto (OSINT) disponible. Aunque es probable que VIP Events Team LLC tenga su sede en EE. UU., la página ‘Contáctenos’ de ticket-paris24[.]El sitio web de Ticket Heist.com indica que la empresa detrás del sitio fraudulento está ubicada en el país de Georgia. Sitios web de venta de entradas falsas vinculados a una única dirección IP QuoIntelligence también encontró otros sitios web de venta de entradas falsas que aprovechaban otros eventos, incluidos: UEFA Euro 2024 en Alemania Varios conciertos y festivales con músicos y bandas famosos (Twenty One Pilots, Iron Maiden, Bruno Mars, Ludovico Einaudi, Metallica y Rammstein) Algunos de estos dominios parecen tener un rango objetivo más amplio que las víctimas de habla rusa a las que se dirigen los sitios de venta de entradas falsas para los Juegos Olímpicos. Todos los dominios detectados como parte de la campaña Ticket Heist apuntan a la misma dirección IP: 179[.]43[.]166[.]54. Leer más: Continúa la extorsión de Ticketmaster, el autor de la amenaza denuncia una nueva filtración de entradas