Advierten sobre engaños reinventados para fraudes

La compañía en detección proactiva de amenazas ESET dio a conocer campañas renovadas de ingeniería social, en las cuales se utiliza la manipulación psicológica y persuasión para que la víctima brinde información personal de manera voluntaria.

En un comunicado, el desarrollador de soluciones en ciberseguridad indicó que los ciberdelincuentes también esperan a que se den a conocer contraseñas, números de tarjetas de crédito o PIN para explotar esas técnicas ya conocidas y alcanzar a más usuarios.

Explicó que en el laboratorio de investigación de ESET Latinoamérica se han analizado dos casos recientes y cómo es que funcionan con viejas técnicas, combinadas con novedosos engaños, para lograr ser señuelos más atractivos para las víctimas de fraude.

Entre las dos nuevas modalidades actualizadas está el smishing, que se presenta cuando una víctima recibe un mensaje de texto (SMS), en el cual es inducida a ingresar a un enlace malicioso.

Entre los pretextos que utilizan los ciberdelincuentes está la suspensión de una cuenta, el restablecimiento de una contraseña o un acceso indebido a una cuenta.

En este caso, los estafadores se hacen pasar por una entidad conocida como un banco o una empresa, y envían un correo apócrifo que aparentemente proviene desde una dirección conocida, y puede falsificar el número telefónico que aparece como origen de los mensajes.

En este tipo de técnica suele ligarse a la ingeniería social, ya que busca hacerse de contraseñas o información crítica del usuario, pero no suele propagar códigos maliciosos.

Para el especialista en seguridad informática de ESET Latinoamérica, Lucas Paus, “quienes ingresaban sus datos personales y contraseña de home banking, los estaban enviando en realidad a los cibercriminales”.

Ello, dijo, recuerda nuevamente la importancia de utilizar el doble factor de autenticación, medida de seguridad útil que las entidades y servicios online ponen a disposición de sus usuarios, aunque muchos optan por no usarla.

De estar activa, esta medida evita que el estafador pueda acceder a la cuenta, porque por más que tenga la contraseña, le falta el segundo factor para iniciar sesión, que se envía al usuario por SMS, notificación o token, y es de uso único.

En el caso del phishing, se trata de un ataque que se comete con el objetivo de adquirir de manera fraudulenta información personal y confidencial de la víctima, donde el estafador se hace pasar por una persona o empresa de confianza, y logra una aparente comunicación oficial a través de correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas.

La estafa se propaga por correo electrónico, sin embargo los teléfonos celulares intervienen como canal secundario.

El pretexto del engaño es un clásico problema con la información de la cuenta, en este caso un cambio en el número de teléfono asociado y el mensaje no contiene un enlace, sino un archivo adjunto.

Dicho archivo induce al usuario a visitar un sitio web, el cual es malicioso y llevará a una pagina que imita al original, donde se solicitarán las credenciales de acceso.

“Una vez más evidenciamos la flexibilidad y cierta creatividad de los estafadores para generar campañas lo más creíbles posible, con el fin de atrapar usuarios desprevenidos”, agregó Lucas Paus.

Por ello, el especialista recomienda leer y estar al tanto sobre estos engaños, así como contar con una solución de seguridad que ayudará a evitar caer en las trampas de los cibercriminales.

También el utilizar el teléfono móvil como un segundo factor de autentificación es una gran medida de seguridad.

Comentarios