Una campaña de phishing en curso que se hace pasar por E-ZPass y otras agencias de peaje ha resurgido recientemente, con usuarios recibiendo múltiples SMS e iMessage para robar información personal y de tarjetas de crédito.
¿Cómo funciona el ataque?
Los mensajes de texto contienen enlaces que, si se hacen clic, redirigen a la víctima a un sitio web de phishing que imita a E-ZPass, The Toll Roads, FasTrak, Florida Turnpike, o cualquier otra autoridad de peaje.
El objetivo es robar datos personales, como nombres, direcciones de correo electrónico, direcciones físicas e información de tarjetas de crédito.
Este tipo de estafa no es nuevo. En abril de 2024, el FBI ya había advertido sobre este tipo de ataque.
¿Cómo engañan los atacantes?
Los mensajes se hacen pasar por comunicaciones oficiales de E-ZPass o el Departamento de Vehículos Motorizados, usando un lenguaje que crea urgencia.
A menudo mencionan que el peaje debe ser pagado en uno o dos días, o que habrá una tarifa adicional o la suspensión de la licencia si no se paga.
Ejemplo del mensaje falso:
“Su pago de peaje para E-ZPass debe ser liquidado antes del 4 de abril de 2025. Para evitar multas y la suspensión de su licencia de conducir, por favor pague antes de la fecha de vencimiento.”
Para evadir los filtros anti-spam, los atacantes utilizan direcciones de correo electrónico aleatorias y pueden enviarse masivamente de manera automatizada.
¿Cómo evadir el ataque?
iMessage de Apple bloquea automáticamente los enlaces en los mensajes de desconocidos, pero los atacantes piden a los usuarios responder al mensaje, lo que hace que los enlaces se vuelvan clicables.
Al hacer clic en el enlace, el usuario es redirigido a una página de phishing que, a excepción de la URL, parece legítima, pero está diseñada para robar información sensible.
Recomendaciones de seguridad
Si recibes uno de estos mensajes:
- Bloquea el número y reporta el número a Apple.
- No respondas a los mensajes, ya que podrías ser marcado para futuros intentos de phishing.
- Si tienes dudas sobre pagos pendientes, accede directamente al sitio web oficial de la autoridad de peaje para verificar cualquier saldo.
- El FBI recomienda presentar una denuncia en el portal IC3.
El volumen de estos mensajes es tan alto que muchos usuarios se sienten frustrados por la persistencia de los intentos de phishing, que pueden llegar a ser hasta 7 mensajes en un solo día.