Special Olympics New York, una entidad sin fines de lucro, centrada en atletas competitivos con discapacidades intelectuales, hizo que su servidor de correo electrónico fuera atacado alrededor de las vacaciones de Navidad de este año y más tarde se utilizó para lanzar una campaña de phishing contra los donantes anteriores.
Special Olympics NY proporciona entrenamiento deportivo y competición atlética a más de 67.000 niños y adultos con discapacidades intelectuales en todo el Estado de Nueva York (66.835 atletas registrados y socios unificados según esta hoja informativa).
La organización sin fines de lucro envió una notificación para divulgar el incidente de seguridad a las personas afectadas, instando a los donantes a no hacer caso del último mensaje recibido y explicando que el pirateo sólo afectaba al “sistema de comunicaciones” que sólo almacena información de contacto y ningún dato financiero.
“Como habrán notado, nuestro servidor de correo electrónico fue temporalmente hackeado. Hemos solucionado el problema y enviamos nuestras más sinceras disculpas”, dijo a los donantes una notificación por correo electrónico de Special Olympics New York.
“El hackeo fue a nuestro sistema de comunicaciones, que sólo incluye su información de contacto y no ningún dato financiero”, decía la notificación. “Tenga la seguridad de que su información de contacto está protegida y se ha mantenido confidencial”.
Los correos electrónicos de phishing entregados por los atacantes se camuflaron como una alerta de una inminente transacción de donación que cargaría automáticamente 1.942.49 dólares de la cuenta del objetivo en el plazo de dos horas.
El uso de un plazo tan corto permitió a los phishers inducir una sensación de urgencia diseñada para que los donantes de Special Olympics NY hicieran clic en uno de los dos hipervínculos incrustados, enlaces que supuestamente los redirigirían a una versión en PDF del extracto de la transacción.
“Por favor, revise y confirme que todo está correcto, si tiene alguna pregunta, por favor encuentre el número de extensión de mi oficina en la declaración y llámeme”, decían los correos electrónicos de phishing. “No es un error, lo verifiqué todo dos veces. Gracias, que tenga un buen fin de semana”.
El correo electrónico de phishing utilizó una URL de seguimiento de Contacto Constante que redirigió a la página de aterrizaje de los atacantes. Esta página ha sido eliminada desde entonces, pero lo más probable es que haya sido utilizada para robar los datos de la tarjeta de crédito de los donantes.
En un comunicado, el vicepresidente de Relaciones Exteriores de las Olimpiadas Especiales de Nueva York, Casey Vattimo, dijo que los donantes pueden ahora hacer donaciones de forma segura, ya que el tema ya ha sido resuelto.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian