in

Docusign-Phish utiliza fraude bancario para robar códigos 2FA – Naked Security


Hace dos semanas tuvo lugar la semana «Fight the Phish» del Mes de la Concientización sobre la Ciberseguridad, un tema que los organizadores de #Cybermonth eligieron porque este ciberdelito milenario sigue siendo un problema importante.

A pesar de que muchos de nosotros recibimos muchas estafas de phishing que son obvias cuando las miramos por nosotros mismos …

Es fácil olvidar que la «obviedad» de muchos correos electrónicos fraudulentos se debe al hecho de que los estafadores nunca pretendieron estas estafas para nosotros.

Los ladrones simplemente los enviaron allí alguien como una forma tosca de enviarlos alguien.

La mayoría de las estafas pueden ser obvias para la mayoría de las personas, pero algunas son creíbles para algunas personas y, de vez en cuando, «algunas personas» pueden incluirlo a usted también.

Cuando el 0,1% es más que suficiente

Por ejemplo, esta mañana recibimos una suplantación de identidad dirigida específicamente a uno de los bancos más grandes de Sudáfrica.

(No vamos a decir qué banco tiene su nombre para recordarle que podría ser cualquier marca, pero reconocerá la imagen de fondo del sitio web del banco si usted mismo es un cliente).

No hay ninguna razón posible para que un delincuente asocie Sophos Naked Security con este banco, y mucho menos con una cuenta en Sudáfrica.

Así que, obviamente, se trataba de una campaña de phishing global generalizada en la que los ciberdelincuentes utilizaban la cantidad en lugar de la calidad para «apuntar» a sus víctimas.

Hagamos algunas aproximaciones de potencia de diez para mostrar lo que queremos decir.

Supongamos que la población de Sudáfrica es de 100 millones; eso es escaso, pero aquí solo estamos haciendo estimaciones del orden de magnitud.

Supongamos que hay 10 mil millones de personas en el mundo, lo que hace que Sudáfrica sea aproximadamente el 1% de la población mundial.

Y suponga que el 10% de los sudafricanos realizan operaciones bancarias en este banco en particular y utilizan su sitio web para realizar sus transacciones en línea.

En pocas palabras, por lo tanto, podemos decir que este phishing fue creíble a lo sumo 1 en 1000 (10% del 1%) de todas las personas en la tierra.

Es tentador concluir que el 99,9% de todos los correos electrónicos de phishing se revelan de inmediato.

Entonces puede preguntarse, tal vez con un toque de complacencia: «Si el 99,9% de ellos son completamente triviales de detectar, ¿qué tan difícil puede ser el otro 0,1%?»

Por otro lado, los delincuentes sabían desde el principio que 999 de cada 1000 personas que recibieron este correo electrónico sabrían de inmediato que era falso y lo eliminarían sin pensarlo dos veces …

..y pero aun así valió la pena enviar spam.