Hace dos semanas tuvo lugar la semana «Fight the Phish» del Mes de la Concientización sobre la Ciberseguridad, un tema que los organizadores de #Cybermonth eligieron porque este ciberdelito milenario sigue siendo un problema importante.
A pesar de que muchos de nosotros recibimos muchas estafas de phishing que son obvias cuando las miramos por nosotros mismos …
Es fácil olvidar que la «obviedad» de muchos correos electrónicos fraudulentos se debe al hecho de que los estafadores nunca pretendieron estas estafas para nosotros.
Los ladrones simplemente los enviaron allí alguien como una forma tosca de enviarlos alguien.
La mayoría de las estafas pueden ser obvias para la mayoría de las personas, pero algunas son creíbles para algunas personas y, de vez en cuando, «algunas personas» pueden incluirlo a usted también.
Cuando el 0,1% es más que suficiente
Por ejemplo, esta mañana recibimos una suplantación de identidad dirigida específicamente a uno de los bancos más grandes de Sudáfrica.
(No vamos a decir qué banco tiene su nombre para recordarle que podría ser cualquier marca, pero reconocerá la imagen de fondo del sitio web del banco si usted mismo es un cliente).
No hay ninguna razón posible para que un delincuente asocie Sophos Naked Security con este banco, y mucho menos con una cuenta en Sudáfrica.
Así que, obviamente, se trataba de una campaña de phishing global generalizada en la que los ciberdelincuentes utilizaban la cantidad en lugar de la calidad para «apuntar» a sus víctimas.
Hagamos algunas aproximaciones de potencia de diez para mostrar lo que queremos decir.
Supongamos que la población de Sudáfrica es de 100 millones; eso es escaso, pero aquí solo estamos haciendo estimaciones del orden de magnitud.
Supongamos que hay 10 mil millones de personas en el mundo, lo que hace que Sudáfrica sea aproximadamente el 1% de la población mundial.
Y suponga que el 10% de los sudafricanos realizan operaciones bancarias en este banco en particular y utilizan su sitio web para realizar sus transacciones en línea.
En pocas palabras, por lo tanto, podemos decir que este phishing fue creíble a lo sumo 1 en 1000 (10% del 1%) de todas las personas en la tierra.
Es tentador concluir que el 99,9% de todos los correos electrónicos de phishing se revelan de inmediato.
Entonces puede preguntarse, tal vez con un toque de complacencia: «Si el 99,9% de ellos son completamente triviales de detectar, ¿qué tan difícil puede ser el otro 0,1%?»
Por otro lado, los delincuentes sabían desde el principio que 999 de cada 1000 personas que recibieron este correo electrónico sabrían de inmediato que era falso y lo eliminarían sin pensarlo dos veces …
..y pero aun así valió la pena enviar spam.
¿Piensas con claridad?
La máxima credibilidad de las estafas de phishing como esta en realidad depende de muchos factores.
Estos factores incluyen: ¿Tiene una cuenta con la empresa en cuestión? ¿Ha realizado una transacción recientemente? ¿Estás en medio de algunas negociaciones contractuales? ¿Tuviste una noche tarde? ¿Viene su tren en dos minutos? ¿Piensas con claridad hoy?
Después de todo, los delincuentes no pretenden engañarnos a todos todo el tiempo, solo a algunos de nosotros.
Como muchas estafas de phishing, esta estafa comienza con un correo electrónico:
El correo electrónico en sí proviene del servicio de firma de contratos y documentos basado en la nube Docusign y contiene un enlace a una página real de Docusign. (Hemos marcado la captura de pantalla de Docusign a continuación como FALSA porque el contenido fue creado, al igual que marcamos los correos electrónicos como FALSOS, incluso si aparecen en su aplicación de correo electrónico de confianza).
La página de Docusign en sí no es peligrosa, ya que no tiene enlaces en los que se pueda hacer clic, y si solo ve el texto extraño, debe darse cuenta de que esto es exactamente lo que parece, un documento sospechoso e improbable sobre cualquier cosa:
No es un contrato, por lo que no hay nada para identificar a la persona en el otro extremo o para revelar de qué se trata el documento en el fraude.
«¿Es eso algún tipo de estafa?» Probablemente se esté preguntando: «¿De qué diablos estás hablando cuando Docusign solo tiene una página para mostrar, no un contrato real que tengo que editar?»
Por lo tanto, es posible que desee abrir el PDF adjunto, que en realidad es solo una copia del documento en la ventana de Docusign:
Excepto eso el enlace en la versión PDF del documento está activo, y si todavía se está preguntando qué está pasando, es posible que desee hacer clic en él, ya que es probable que el PDF se haya abierto en el visor de PDF que eligió (por ejemplo, Vista previa, Adobe Reader o su navegador) …
… para que ya no se sienta como la opción arriesgada de «hacer clic en enlaces en correos electrónicos».
Debe tener en cuenta que la URL parece poco probable para un banco grande porque es un servicio de redireccionamiento de DNS en Filipinas, y el sitio web al que está redirigiendo es incluso menos probable porque es una empresa agrícola pirateada que comercia en Bulgaria.
Sin embargo, lo que es seguro es que el aspecto es sorprendentemente parecido a la página de inicio de sesión habitual del banco:
¿Quizás el banco está tratando de llamar su atención sobre una transacción que aún no se ha realizado porque aún no ha «firmado» nada a través de Docusign?
Por supuesto, cuando intente iniciar sesión, los delincuentes lo llevarán a un baile en línea feliz pero visualmente atractivo y le pedirán su contraseña:
El siguiente paso solicita su número de teléfono para que los delincuentes puedan obtenerlo incluso si el último paso falla, seguido de un breve retraso animado, presumiblemente durante uno de los delincuentes (si están en línea o un sistema automatizado si no lo están)). intentó iniciar sesión con sus credenciales, seguido de una solicitud fraudulenta de su código 2FA:
Si los delincuentes llegan hasta aquí e ingresa su código 2FA, es casi seguro que tengan suficiente para ingresar a su cuenta.
Si todo lo demás falla o si sospecha que está manejando el asunto en línea, como esperamos, hay un número de teléfono alternativo de Sudáfrica en la «Factura» para pedir ayuda.
Por supuesto, no es el centro de llamadas real del banco, sino una conexión VoIP (telefonía por Internet) para que pueda aterrizar en cualquier parte del mundo.
No intentamos llamarlo, pero no tenemos ninguna duda de que si esto sucediera, el teléfono sería contestado por alguien que dice ser del banco contra el que se opera esta estafa.
Sospechamos que una persona amable y servicial en el otro extremo simplemente le explicaría cómo conectarse al sitio web fraudulento ingresando la URL usted mismo y esperar pacientemente con usted mientras realiza el proceso.
Es probable que esta persona «útil» inicie sesión en el banco con sus credenciales al mismo tiempo que usted llama, copie la contraseña y el código 2FA tan pronto como les dé, y luego se ayudaría a sí misma en lugar de fingir que le ayuda.
¿Qué tengo que hacer?
Estos son nuestros consejos sobre cómo dejarse atrapar rápidamente, incluso si solo tiene que preocuparse por esos correos electrónicos de 1 en 1000:
Compruebe estas URL. Copiar la apariencia de un sitio web de marca es fácil, pero es mucho más difícil piratear los propios servidores de esa marca para llevar a cabo la estafa. Si no puede ver la URL con claridad, p. Ej. Por ejemplo, debido a que usa un teléfono celular, debe cambiar a una computadora portátil, lo que hace que los detalles, como las direcciones web completas, sean mucho más fáciles de verificar.
Evite los enlaces en correos electrónicos o archivos adjuntos. Es posible que esté listo para hacer clic en un enlace de Docusign, siempre que esté esperando uno y la URL esté verificada. Eso significa correr un riesgo bien informado. Pero para servicios como bancos, correo web y empresas de mensajería con las que ya tiene una cuenta, marque el sitio web real de la empresa de antemano. Entonces nunca tendrá que depender de enlaces que podrían, y probablemente lo hicieron, provenir de cualquier persona.
Utilice un administrador de contraseñas. Los administradores de contraseñas no solo eligen contraseñas aleatorias, complejas y diferentes para cada sitio para que no use accidentalmente la misma contraseña, sino que también asignan una URL específica a cada contraseña. Esto significa que cuando hace clic para acceder a un sitio web falso, el administrador de contraseñas simplemente no sabe qué contraseña usar y, por lo tanto, no intentará iniciar sesión en absoluto.
Nunca llames a los ladrones. Así como debe evitar los enlaces en los correos electrónicos, también debe evitar los números de teléfono que le ofrecen extraños. Ya sea que el número sea real o no, la persona al otro lado lo saludará como si lo fuera. Puede encontrar el número de teléfono correcto buscándolo usted mismo, idealmente sin usar Internet, por ejemplo, en documentos impresos existentes o en el reverso de su tarjeta de crédito.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
