Phishing: 10 cosas para hacer inmediatamente si cliqueaste en un enlace falso

Te damos consejos útiles para actuar rápidamente si has detectado que mordiste el anzuelo, y fuiste víctima de un correo electrónico de phishing. 10 cosas que puedes hacer inmediatamente para minimizar el daño.

Las faltas de ortografía, la gramática extraña, el lenguaje urgente o amenazador, la falta de contexto… todos ellos son indicios comunes de los ataques de phishing. Sin embargo, algunas amenazas de phishing son más difíciles de detectar, ya que implican una importante inversión de tiempo y una planificación meticulosa por parte de los atacantes, que incluso examinan las comunicaciones anteriores del objetivo, lo que en última instancia hace que el ataque sea muy convincente y tenga éxito.

Una táctica popular utilizada por los estafadores en campañas fraudulentas a gran escala consiste en explotar acontecimientos de actualidad. Por ejemplo, lo que parecía un correo electrónico del Servicio Nacional de Salud del Reino Unido para ofrecer una prueba gratuita de COVID-19 era, en realidad, una forma de obtener los datos personales de las víctimas a través de un formulario falso.

Solo se tarda unos instantes en ser víctima de una estafa y ni siquiera los profesionales informáticos están exentos de este riesgo. Simplemente, recibes un mensaje de correo electrónico aparentemente inofensivo que contiene un enlace en el que debes hacer clic “antes de que sea demasiado tarde”. Pero, ¿y si, justo después de hacerlo, te invade una sensación de inquietud y te das cuenta de que todo era una estafa? 

¿Qué debe hacer ahora?

Aquí algunos consejos sobre qué hacer después de haber mordido el anzuelo.

  • No des más información

Supongamos que recibiste un correo electrónico de una tienda online que, aunque te generó algunas sospechas, hiciste clic en el enlace adjunto sin pensarlo demasiado, o por curiosidad, y aunque te lleva a un sitio web que parece legítimo, sigues dudando.

Lo más sencillo es abstenerse de compartir información adicional: no introducir credenciales ni facilitar datos bancarios u otros de igual sensibilidad. Si los estafadores solo querían tus datos y no comprometieron tu dispositivo con malware, lo más probable es que puedas esquivar el anzuelo, o zafarte de él.

  • Desconecta tu dispositivo de Internet

Algunos ataques de phishing pueden hacer que les des acceso a tu computadora, teléfono móvil u otro dispositivo. Pueden desplegar malware, recopilar información tuya y de tu dispositivo, u obtener el control remoto.

Para mitigar los daños, es imprescindible actuar con rapidez. Lo primero que debes hacer es desconectar el dispositivo de internet. Si utilizas un PC con conexión por cable, simplemente desenchúfalo. Si estás conectado a través de Wi-Fi, desactiva esa conexión en los ajustes del dispositivo o activa la función modo avión.

  • Haz una copia de seguridad de tus datos

Desconectarse de Internet evitará que se envíen más datos al servidor malicioso, pero tus datos siguen estando en peligro. Deberías hacer una copia de seguridad de tus archivos, principalmente de los documentos sensibles o de aquellos archivos con un alto valor personal, como fotos y vídeos.

Hacer una copia de seguridad de tus datos después de haber sido comprometidos puede ser arriesgado, ya que es posible que ya hayan sido comprometidos por el malware.

En lugar de eso, deberías hacer copias de seguridad de tus archivos de forma regular y preventiva. Si el malware afecta a tu dispositivo, puedes recuperar tus datos desde un disco duro externo, una memoria USB o un servicio de almacenamiento en la nube.

  • Realiza un análisis en busca de malware y otras amenazas

Realiza un análisis completo de tu dispositivo con un software antimalware de un proveedor de confianza, mientras el dispositivo está desconectado de Internet.

Lo ideal sería ejecutar un segundo escaneado utilizando, por ejemplo, el escáner gratuito en línea de ESET. Descarga el escáner en el ordenador o en un dispositivo independiente, como un disco duro USB, que puedas insertar en el ordenador infectado e instalar el software desde allí.

No uses el dispositivo durante el escaneado y espera los resultados. Si el escáner encuentra archivos sospechosos, seguí sus instrucciones para eliminarlos.

Si el proceso de escaneado no encuentra ningún riesgo potencial, pero sigues teniendo dudas, ponte en contacto con tu proveedor de seguridad. 

  • Considera un restablecimiento de fábrica

Restablecer los valores de fábrica significa devolver el teléfono a su estado original eliminando todas las aplicaciones y archivos instalados. Sin embargo, algunos tipos de malware pueden persistir en el dispositivo incluso después de un restablecimiento completo, de todas formas, lo más probable es que al borrar el dispositivo móvil o el ordenador se elimine con éxito cualquier amenaza. Recuerda que un restablecimiento de fábrica es irreversible y borrará todos los datos almacenados localmente. Nunca se insistirá lo suficiente en la importancia de realizar copias de seguridad periódicas.

  • Restablezca sus contraseñas

Los correos electrónicos de phishing pueden engañarte para que divulgues tus datos confidenciales, como números de identificación, datos bancarios y de tarjetas de crédito o credenciales de inicio de sesión. 

Si crees que este es el caso, sobre todo si los correos electrónicos de phishing te piden que facilites un nombre de usuario específico —por ejemplo, con una estafa con temática de LinkedIn-, deberías cambiar inmediatamente tus credenciales de inicio de sesión, muchos más si reciclas la misma contraseña en varias cuentas como tu correo electrónico, banca online y/o redes sociales.

Estas situaciones ponen de relieve la importancia de utilizar nombres de usuario y contraseñas únicos para los distintos servicios en línea. Usar las mismas credenciales en varias cuentas facilita a los atacantes el robo de datos personales o dinero.

  • Ponte en contacto con bancos, autoridades y proveedores de servicios

Si proporcionaste datos bancarios o de su tarjeta de crédito o los datos de acceso a un sitio web con acceso a tus tarjetas, comunícate inmediatamente con la entidad que las proporciona. Ellos podrán bloquear tu tarjeta o congelarla para prevenir futuros fraudes, y así minimizas el daño financiero. Consulta si tu banco (o servicios de pago) tiene una política de reembolso para víctimas de estafas.

Para evitar que otras personas caigan en esta estafa, avisa también a las autoridades locales. 

  • Detecta las diferencias

Cuando los delincuentes consiguen entrar en uno de sus dispositivos o cuentas, es posible que cambien tus datos de acceso, direcciones de correo electrónico, números de teléfono o cualquier cosa que pueda ayudarles a afianzarse en su cuenta y apoderarse de ella por más tiempo.

Revisa tu actividad en las redes sociales, la información bancaria y el historial de pedidos de sus compras en línea. Si, por ejemplo, detectas algún pago que te parezca raro, desconocido o no autorizado, denúncialo, cambia tus credenciales de inicio de sesión y, si es el caso, solicita un reembolso.

  • Busca dispositivos no reconocidos

Si los piratas informáticos robaron los datos de tu cuenta, es probable que intenten iniciar sesión desde su propio dispositivo. La mayoría de las plataformas de redes sociales guardan un registro de tus sesiones iniciadas en la configuración de privacidad. Haz esa comprobación y fuerza el cierre de sesión en cualquier dispositivo que desconozcas.

  • Notifica a tus amigos, contactos, proveedores de servicios y empleador

A veces, los estafadores utilizan tu lista de contactos en una cuenta comprometida para difundir enlaces de phishing o spam. Tenlo en cuenta y toma medidas para evitar que otros caigan en la misma estafa.

Si un ciberataque está relacionado con cuentas de trabajo o dispositivos proporcionados por tu empresa, sigue las normas e informa inmediatamente al departamento de TI. Los principales servicios de correo electrónico, como Outlook o Gmail, también ofrecen herramientas para informar de correos electrónicos de phishing directamente desde su bandeja de entrada.

Reflexiones finales

Morder el anzuelo y hacer clic en un enlace de phishing puede hacerte sentir avergonzado, e incluso alarmado, pero este tipo de amenaza es cada vez más frecuente. De hecho, le ocurre a cientos de miles de personas cada año solo en Estados Unidos, y las cifras van en aumento. Si mantienes la calma y sigues los consejos anteriores, estarás un paso por delante de las amenazas a las que podrías enfrentarte.

Fuente: www.welivesecurity.com

 

¿Recibiste un correo electrónico con un código QR? ¡Cuidado!

Ejemplos de cómo se utilizan los códigos QR en los correos electrónicos de phishing.

Cada vez hay más casos de usuarios que reciben correos electrónicos aparentemente de grandes empresas de Internet (por ejemplo, Microsoft o su servicio en la nube, Office 365) que contienen códigos QR. El cuerpo de estos correos electrónicos tiene una llamada a la acción: en pocas palabras, escanear el código QR para mantener el acceso a tu cuenta. En esta publicación, analizaremos si vale la pena reaccionar a esos correos.

Escanea el código QR o enfréntate a lo inevitable

Un correo electrónico típico de este tipo contiene una notificación que indica que la contraseña de tu cuenta está a punto de caducar y que perderás el acceso a tu buzón de correo y, por lo tanto, tendrás que cambiar la contraseña. Para cambiarla, debes escanear el código QR en el correo electrónico y seguir las instrucciones.

La contraseña se debe restablecer al escanear el código QR.

 

Otro correo electrónico podría advertir al destinatario que “La sesión del autenticador ha caducado hoy”. Para evitar esto, se recomienda al usuario que “escanee rápidamente el código QR a continuación con su teléfono inteligente para volver a autenticar la seguridad de su contraseña”. De lo contrario, podría perder el acceso al buzón de correo.

“La sesión del autenticador ha caducado”; escanee el código QR para obtener una solución rápida.

Otro ejemplo sería el mensaje que le informa amablemente al lector de lo siguiente: “Este correo electrónico es de una fuente fiable”. Ya hemos hablado de por qué los correos electrónicos con el sello “verificado” deben tratarse con precaución. La idea central del mensaje es que, supuestamente, “3 correos electrónicos importantes” no se pueden entregar al usuario debido a la falta de algún tipo de validación. Por supuesto, escanear el código QR a continuación solucionará el problema.

Los correos electrónicos importantes solo se pueden enviar al escanear el código QR para su “validación”.

Claramente, los autores de estos correos electrónicos quieren intimidar con palabras pretenciosas a los usuarios sin experiencia.

También es probable que esperen que el destinatario haya escuchado algo sobre las aplicaciones de autenticación, que de hecho usan códigos QR, para que el solo hecho de mencionarlo logre asociaciones en la mente.

¿Qué sucede si escaneas el código QR en el correo electrónico?

El enlace en el código QR te lleva a una réplica bastante convincente de una página de inicio de sesión de Microsoft.

Escanear el código QR te lleva a un sitio de phishing que roba las credenciales introducidas.

Por supuesto, todas las credenciales introducidas en esas páginas de phishing terminan en manos de los ciberdelincuentes. Esto pone en peligro las cuentas de los usuarios que caen en esos trucos.

Un detalle interesante es que algunos enlaces de phishing en códigos QR conducen a recursos IPFS. IPFS (InterPlanetary File System) es un protocolo de comunicación para compartir archivos que tiene mucho en común con los torrents. Te permite publicar cualquier archivo en Internet sin registro de dominio, alojamiento ni otras complicaciones.

En otras palabras, la página de phishing se encuentra directamente en el ordenador del autor de phishing y se puede acceder a ella a través de un enlace mediante una puerta de enlace IPFS especial. Los autores de phishing utilizan el protocolo IPFS porque es mucho más fácil publicar y mucho más difícil eliminar una página de phishing que bloquear un sitio web malicioso “normal”. De esa forma, los enlaces se mantienen activos durante más tiempo.

Cómo protegerte contra los códigos QR de phishing

Ningún sistema de autenticación decente sugiere escanear un código QR como su única opción. Por lo tanto, si recibes un correo electrónico que te pide confirmar algo o iniciar sesión en tu cuenta nuevamente, restablecer tu contraseña o realizar alguna acción similar, y este correo electrónico solo contiene un código QR, es probable que se trate de phishing. Puedes ignorar y eliminar de forma segura ese correo electrónico.

Para esos momentos en los que necesites escanear un código QR de una fuente desconocida, recomendamos nuestra solución de seguridad con su función de escáner de código QR seguro. La herramienta verifica el contenido de los códigos QR y te advierte si hay algo falso en el interior.

Fuente: latam.kaspersky.com

 

Ecuador atacado por una campaña masiva de phishing

Se identificó una nueva campaña de phishing que afectó a empresas y entidades gubernamentales en Ecuador, México, Argentina, Chile, Perú y Brasil.

Ecuador – El equipo de investigación de ESET, descubrió una campaña masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de Zimbra Collaboration. La campaña se está difundiendo masivamente y sus objetivos son una variedad de pequeñas y medianas empresas, como también entidades gubernamentales.

Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.

De acuerdo a la telemetría de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.

Las organizaciones atacadas varían, no se focaliza en ninguna vertical específica; la única conexión entre las víctimas es que utilizan Zimbra. A la fecha, no se ha atribuido esta campaña a ningún actor de amenazas conocido.

Figura 1. Países blanco de la campaña, de acuerdo a la telemetría ESET

Inicialmente, el objetivo recibe un email con una página de phishing en un archivo HTML adjunto. El email advierte al usuario sobre una actualización del servidor de email, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjunto. El atacante también falsifica el campo De: del correo electrónico para que parezca procedente del administrador del servidor de email.

Figura 2. Advertencia en polaco, como señuelo, advirtiendo sobre la desactivación de la cuenta Zimbra

Figura 3. Traducción automática al inglés del correo señuelo, originalmente en polaco

Figura 4. Email de phishing en italiano.

Luego de abrir el archivo adjunto, al usuario le aparece una página falsa de inicio de sesión a Zimbra personalizada de acuerdo a la organización de pertenencia. El archivo HTML se abre en el navegador de la víctima, que puede ser inducida a pensar que está siendo redirigida a una página legítima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo “Username” se rellena automáticamente en el formulario de inicio, lo que lo hace parecer más legítimo aún.

Figura 5. Página falsa de login en Zimbra

Ejemplo de la página de acceso a webmail de Zimbra legítima para compararla con la versión falsa. 

Figure 6. Ejemplo de la página de inicio de Zimbra legítima

En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se envían mediante una petición HTTPS POST al servidor que controla el atacante.

“Curiosamente, en varias ocasiones, desde ESET se observaron oleadas posteriores de emails de phishing enviadas desde cuentas de Zimbra que habían sido atacadas previamente, de compañías legítimas, como donotreply[redacted]@[redacted].com. Es probable que los atacantes tengan la capacidad de comprometer el administrador de cuentas de la víctima y de crear nuevos buzones de correo que usarían para enviar emails de phishing a otros objetivos. Una explicación es que el atacante se vale del reciclado de contraseñas que pueda hacer el administrador atacado – por ej. que utilice las mismas credenciales para el email y para la administración. Con la información disponible, no estamos en condiciones de confirmar esta hipótesis.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según ESET, a pesar de que la campaña no es sofisticada, técnicamente hablando, es capaz de difundirse y comprometer a las organizaciones que usan Zimbra Collaboration, lo que la hace atractiva para los atacantes. “El hecho de que los adjuntos HTML contengas código legítimo, y el único elemento revelador sea un elemento que conecta con un host malicioso, es lo que los atacantes aprovechan. De esta forma, es más fácil eludir las políticas antispam, en comparación a las técnicas de phishing en las que el link está directamente en el cuerpo el correo electrónico. La popularidad de Zimbra entre las organizaciones de las que se espera que tengan menor presupuesto en IT, asegura que siga siendo un objetivo atractivo para los cibercriminales.”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

Fuente: Relaciones Públicas, ESET – Ecuador

 

 

Cuidado con los engaños que aprovechan la Copa del Mundo

Compartimos algunos ejemplos de engaños que están utilizando los cibercriminales para aprovechar el interés que genera la Copa del Mundo de la FIFA para robar información personal o dinero de las personas, como correos de phishing, sitios falsos o engaños con la venta de entradas.

Falta menos de un mes para que comience el evento deportivo más importante a nivel global. Hablamos de la Copa Mundial de la FIFA Catar 2022, que comenzará el próximo 20 de noviembre y finalizará el 18 de diciembre. Un evento que atrae la atención de millones de fanáticos a lo largo de todo el mundo, pero también de cibercriminales que están al acecho intentando sacar partido del interés que genera. Por eso, en esta oportunidad repasamos algunas formas de engaño para robar información o el dinero de las personas utilizando como excusa la Copa del Mundo.

Correos de phishing

Los ciberdelincuentes utilizan distintos modelos de correos falsos haciendo referencia a la Copa del Mundo. Por ejemplo, haciendo creer a las personas que ganaron un sorteo o entradas para los partidos. Pero la verdadera intención siempre suele ser la misma: robar datos personales, dinero o descargar en el equipo de la víctima malware o una app de dudosa reputación.

Desde ESET detectamos distintos ejemplos de campañas de phishing a nivel global que intentan hacer creer a las personas desprevenidas que su dirección de correo ha sido la ganadora en un sorteo y que ganó una cifra millonaria. Para cobrar el dinero, la persona deberá responder con un correo electrónico completando un formulario que solicita una larga lista de datos personales, como nombre completo, fecha de nacimiento, número de teléfono, ocupación, entre otros. Adicionalmente, proporcionan el nombre y número de teléfono de una persona de contacto que supuestamente ayudará al ganador a recibir el premio.

En este tipo de engaños, cuando la persona se contacta el agente por lo general inventa alguna excusa para poder enviar el dinero, como el pago de un impuesto, y de esta manera roba su dinero. Mientras que los datos recolectados luego pueden ser comercializados.

Hemos visto el asunto de estos correos de phishing tanto en inglés como en español. Algunos modelos que han utilizado en el asunto son: “Qatar World Cup 2022 Lottery Winner”, “QATAR 2022 FIFA LOTTERY WINNER” o “FELICITACIONES SU CORREO ELECTRÓNICO HA GANADO QATAR FIFA 2022 MEGA WORLD CUP LOTTERY.

Mensaje que llega como archivo adjunto en correo de phishing que utiliza la Copa del Mundo como señuelo.

 

Otro ejemplo de correo de phishing utilizando el tema de la Copa del Mundo fue reportado hace unas semanas e intentaba hacer creer a las potenciales víctimas que habían ganado entradas para ver el primer partido del Mundial.

Sitios falsos

Además de los correos de phishing, los atacantes pueden crear sitios falsos que son distribuidos a través de anuncios maliciosos, correos de spam, perfiles falsos u otras vías. Independientemente de si estos sitios son copias de sitios legítimos o no, lo importante es que suelen ser utilizados para robar datos personales, credenciales, datos financieros,  u otra información sensible. En algunos casos pueden incluso ser utilizados para descargar malware o una app de dudosa reputación.

Copia falsa del sitio oficial de Catar 2022 utilizado para robar datos personales y redirigir a un falso sitio para comprar entradas.

Este sitio se hace pasar por el sitio oficial de Catar 2022, cuya URL es  https://www.qatar2022.qa. Si observamos la imagen anterior podremos apreciar que la URL es muy similar a la del sitio oficial. Desde este sitio falso los cibercriminales ofrecen la posibilidad de obtener entradas, pero solicitan primero completar un formulario donde recolectan una gran cantidad de datos personales. Los cuales luego podrán ser comercializados o utilizados en posteriores ataques de ingeniería social.

Ejemplo de los datos que solicita el sitio falso al momento de intentar comprar una entrada.

Estafas con la venta de entradas

Si aún estás buscando comprar boletos para ver alguno de los partidos, también debes tener cuidado con otras modalidades que están utilizando los estafadores. Algunas personas reportaron que han sido contactadas por correo electrónico haciéndose pasar por FIFA ofreciendo entradas a la venta. Incluso en grupos de Reddit están engañando a las personas ofreciendo falsas entradas impresas, aseguran algunos usuarios.

Vale la pena mencionar que las entradas serán digitales y no habrá entradas físicas para acceder a los partidos de Catar 2022. La única forma de comprar boletos es a través del sitio oficial FIFA.com/tickets. Por otra parte, la reventa de entradas no autorizadas está prohibida en el país y las sanciones pueden ser muy severas. La única manera de revender las entradas y comprarlas es a través de la plataforma oficial para la reventa de entradas de la FIFA.

Para más información sobre la compra de entradas, la reventa y los sitios autorizados, consulte la página oficial de la FIFA.

Estafadores intentando revender entadas en Reddit. Fuente: Reddit.

Otras modalidades de engaño

Es probable que otras formas de engaño utilicen la temática de la Copa del Mundo para atraer a las personas. Por ejemplo, a través de falsos regalos o sorteos a través de WhatsApp, falsos perfiles en redes sociales o incluso anuncios maliciosos que redirigen a sitios maliciosos.

Además, recomendamos estar atentos a los fraudes entorno al lanzamiento de nuevos tokens. Como ya hemos visto en otros casos, los estafadores suelen crear tokens utilizando temas del momento, como fue la estafa Rug Pull con el token Squid, que utilizó el nombre de la serie Squid Game (“El juego del calamar”) cuando se volvió furor en todo el mundo.

Recientemente se lanzó un token llamado FIFA Inu que está recibiendo acusaciones de estafa debido a la caída que sufrió luego de un alza sostenida. Sin embargo, sus fundares aseguran que las acusaciones son falsas. Igualmente, se recomienda a las personas estar atentas a la hora de invertir su dinero.

Fuente: www.welivesecurity.com

Operación Pulpo Rojo: campaña de malware dirigida a organismos de alto perfil de Ecuador

Cibercriminales han estado apuntando con malware para espiar a empresas y organismos gubernamentales de Ecuador.

El equipo de investigación de ESET Latinoamérica compartió detalles de una campaña de malware dirigida a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de 2022. Denominada Operación Pulpo Rojo, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a los sistemas de ESET se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.

El malware final que intentaban distribuir la campaña era el conocido troyano de acceso remoto (RAT) Remcos. Si bien Remcos es un software legítimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace unos años que viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.

Países a los que afectó la campaña

Los operadores detrás de Operación Pulpo Rojo utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord, pero se destacó por el uso de diferentes técnicas para evitar ser detectados, ya sea por una solución de seguridad, como también por una víctima que vea un comportamiento anómalo en su equipo.

Correos de phishing que utiliza la campaña

La forma de infectar a las víctimas fue a través de correos de phishing. En la Imagen 1 podemos observar un ejemplo de un correo en el que aparentaban ser de la Fiscalía General del Estado de Ecuador, pero también detectamos que se han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.

Imagen 1. Ejemplo de correo de phishing utilizado enviado a las víctimas

Estos correos incluyen un enlace que conducen a la descarga de un archivo comprimido que está protegido con contraseña. En el ejemplo que vemos a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo Word desencadena el proceso de infección, el cual consiste en dos etapas, que termina descargando en el equipo de la víctima el RAT Remcos.

Imagen 2. Ejemplo del nombre de archivo comprimido alojado en Google Drive que contiene el ejecutable.

Imagen 3. Archivo ejecutable que utiliza el ícono de Microsoft Word para hacer creer a la víctima que se trata de un archivo de texto.

El nombre del archivo adjunto descargado puede variar. Algunos ejemplos de los nombres utilizados en esta campaña fueron ser:

  • DEMANDA ADMINISTRATIVA JUICIO PENAL.rar
  • TRANSFERENCIA BANCARIA ADJUNTO COMPROBANTE.rar
  • PROCESO PENAL JUICIO DEMANDA INTERPUESTA (1).rar
  • JUICIO NO 2586522 JUZGADO 2 LLAMADO JUDICIAL.exe
  • FISCALIA PROCESO PENAL JUICIO DEMANDA INTERPUESTA (2).rar
  • VOUCHER DE TRANSFERFENCIA REALIZADA A SU EMPRESA CUENTA CORRIENTE (1).rar
  • Proceso Penal Comunicacion De Jucio Demanda Interpuesta.rar
  • PROCESO JUDICIAL EMPRESARIAL ADMINISTRATIVO LLAMADO 1 FISCALIA GENERAL.rar

Etapas de la campaña

En una primera etapa el archivo malicioso busca ejecutar comandos de PowerShell con privilegios elevados para ejecutar un segundo código malicioso que va a realizar las siguientes acciones:  

  1. Descargar un archivo malicioso alojado en Discord que va a modificar la configuración de Windows Defender para evadir su detección. 
  2. Descarga un archivo comprimido, que también está alojado en Discord, y que contiene un ejecutable malicioso desarrollado en .NET que se encarga de lograr persistencia y de ejecutar Remcos.  

Capacidades de Remcos

Este troyano permite realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente por los atacantes; por ejemplo:

  • Realizar capturas de pantalla
  • Registrar las pulsaciones del teclado por el usuario (Keylogging)
  • Grabar audio
  • Manipular archivos
  • Ejecutar remotamente comandos en una máquina
  • Ejecutar remotamente scripts en una máquina

Como mencionamos anteriormente, si bien se trata de una herramienta legítima, en foros clandestinos se pueden encontrar versiones crackeadas de este software que son comercializadas para su uso malicioso. En este caso, los atacantes utilizaron la versión 3.4.1 Pro de Remcos.

Cómo estar protegido

Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, ya que como vimos en este caso, así comienzan muchos ciberataques. Para ello es importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo.

Es muy importante también prestar atención a las extensiones de los archivos y no dejarse llevar por la imagen del ícono. Por último, es importante instalar una solución de seguridad confiable que detecte a tiempo cualquier intento de actividad maliciosa en el equipo y mantener todos los equipos y aplicaciones actualizadas.

Fuente: www.welivesecurity.com

5 formas que utilizan para robar datos de tarjetas de crédito

Repasamos cuáles son las formas más comunes en que los ciberdelincuentes pueden obtener los datos de nuestra tarjeta de crédito, y cómo protegerlos.

 

El cibercrimen es una máquina bien aceitada que vale billones de dólares al año. Ocultos de las fuerzas de seguridad y de la mayoría de los consumidores, los ciberdelincuentes frecuentan sitios de la dark web donde compran y venden grandes cantidades de datos robados, así como las herramientas necesarias para obtenerlos. Se cree que hay hasta 24 mil millones de nombres de usuario y contraseñas obtenidos ilegalmente que circulan actualmente en dichos sitios. Entre los más buscados se encuentran los datos de tarjetas nuevos, que luego los estafadores compran a granel para cometer fraude de identidad.

En los países que han implementado sistemas de chip y PIN (también conocidos como EMV), es un desafío convertir estos datos en tarjetas clonadas. Por eso son más comunes los ataques en línea dirigidos a transacciones sin tarjeta (CNP). Los estafadores podrían usarlos para comprar artículos de lujo para su posterior venta, o potencialmente podrían comprar tarjetas de regalo a granel, que es otra forma popular de lavar fondos obtenidos ilícitamente. La escala del mercado de tarjetas es difícil de estimar. Pero los administradores de la tienda clandestina más grande del mundo se retiraron recientemente después de ganar aproximadamente 358 millones de dólares.

Con esto en mente, a continuación explicamos cuáles son las cinco formas más comunes en que los ciberdelincuentes buscan obtener los datos de tarjetas de crédito de las personas y cómo detenerlos:

1. Phishing

El phishing es una de las técnicas más utilizadas por los ciberdelincuentes para robar datos. En su forma más simple, es un engaño en el que el cibercriminal se hace pasar por una entidad legítima (por ejemplo, un banco, un proveedor de comercio electrónico o una empresa de tecnología) para engañar a un usuario y convencerlo para que ingrese sus datos personales o descargue malware sin darse cuenta. Estos correos o mensajes de phishing suelen alentar a las personas a hacer clic en un enlace o abrir un archivo adjunto. A veces, hacerlo lleva al usuario a una página falsa que parece legítima, donde se solicitará que ingrese información personal y financiera. Para tener en cuenta la vigencia que tiene pese a ser una forma de ataque muy conocida, el phishing alcanzó el máximo histórico en el primer trimestre de 2022, algo que ya había sucedido en 2021.

Repasamos cuáles son las formas más comunes en que los ciberdelincuentes pueden obtener los datos de nuestra tarjeta de crédito, y cómo protegerlos.

 

Con los años el phishing ha ido evolucionado dando lugar a formas de ataque similares. En lugar de un correo electrónico, las víctimas puede también recibir un mensaje texto (SMS) malicioso, conocido como smishing, donde un ciberdelincuente se puede hace pasar, por ejemplo, por una empresa de entrega de paquetería, una agencia gubernamental u otra organización de confianza. Los estafadores pueden incluso llamarlo telefónicamente, en una forma de ataque conocida como vishing, donde nuevamente fingen ser una fuente confiable con el objetivo de convencer al individuo para que comparta los detalles de su tarjeta. El smishing se duplicó en 2021, mientras que el vishing también aumentó.

2. Malware

El mercado clandestinidad del cibercrimen es enorme, y no solo se comercializan datos, sino también malware. A lo largo de los años se han desarrollado diferentes tipos de códigos maliciosos diseñados para robar información. Algunos de estos códigos lo que hacen es registran las pulsaciones del teclado de la víctima; por ejemplo, mientras escribe los detalles de la tarjeta en un sitio de comercio electrónico o bancario. ¿Cómo hacen los cibercriminales para colocar estos programas maliciosos en nuestras máquinas?

Los correos de phishing o mensajes de texto son un método muy común. También los anuncios maliciosos. En otros casos pueden comprometer un sitio web que recibe muchas visitas y esperar a que los usuarios lleguen al sitio para infectarlos. Ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio comprometido. El malware que roba información también suele estar oculto dentro de aplicaciones móviles maliciosas que parecen legítimas.

3. Web skimming

A veces, los ciberdelincuentes también instalan malware en páginas de pago de sitios de comercio electrónico legítimos. Estos códigos maliciosos son invisibles para el usuario, pero sustraerán los detalles de la tarjeta a medida que son ingresados. No hay mucho que los usuarios puedan hacer para mantenerse seguros, aparte de comprar en sitios confiables y que utilicen aplicaciones de pago de renombre, que probablemente sean más seguros. Las detecciones de web skimmers aumentaron un 150% entre mayo y noviembre de 2021.

4. Filtraciones de datos

A veces, los datos de las tarjetas se obtienen no de los usuarios, sino directamente de empresas con las que se hace algún tipo de transacción o negocio. Podría ser desde un proveedor de atención médica, una tienda en línea o una empresa de viajes. Esta forma de obtener datos es más rentable desde la perspectiva de los delincuentes, porque a través de un ataque se obtiene acceso a una gran cantidad de datos.

Por otro lado, con las campañas de phishing, si bien son ataques se lanzan de forma automatizada, tienen que robar a los individuos uno por uno.

5. Redes Wi-Fi públicas

Cuando estás fuera de casa es tentador puede resultar tentador navegar por la web utilizando puntos de acceso Wi-Fi públicos: ya sea en aeropuertos, hoteles, cafeterías y otros espacios compartidos. Incluso si tienes que pagar para unirte a la red, es posible que no sea seguro si los delincuentes han hecho lo mismo. Pueden usar el acceso a una red para espiar los datos de terceros a medida que son ingresados.

Cómo proteger los datos de la tarjeta de crédito

Afortunadamente, hay muchas maneras de minimizar los riesgos de que los datos de la tarjeta de crédito caigan en manos equivocadas. Considere las siguientes recomendaciones como un punto de partida:

  • Esté alerta: si recibe un correo electrónico inesperado o no solicitado, nunca responda, haga clic en enlaces ni abra archivos adjuntos. Podría tratarse de un engaño que busca infectarlo con malware. O podrían llevarlo a páginas de phishing que parecen legítimas donde se solicitará que ingrese sus datos.
  • No divulgue ningún detalle por teléfono, incluso si la persona al otro lado suena convincente. Pregunte de dónde están llamando y luego vuelva a llamar a esa organización para verificar. No utilice los números de contacto que le proporcionaron.
  • No use Internet si está conectado a una red Wi-Fi pública, especialmente si no utiliza una VPN. No realice ninguna acción que implique ingresar los detalles de la tarjeta (por ejemplo, compras en línea).
  • No guarde los detalles de la tarjeta de crédito o débito en el navegador, aunque esto le permita ahorrar tiempo la próxima vez que realice una compra. De esta manera reducirá considerablemente las posibilidades de que obtengan los datos de su tarjeta si la empresa o plataforma sufre una filtración o si un atacante logra secuestrar su cuenta.
  • Instale una solución antimalware de un proveedor confiable en cada una de sus computadoras y dispositivos conectados a Internet.
  • Active la autenticación en dos pasos en todas las cuentas que tengan información sensible. La autenticación en dos pasos reduce las posibilidades de que los atacantes puedan acceder a sus cuentas incluso si obtuvieron sus credenciales de acceso.
  • Solo descargue aplicaciones de tiendas oficiales, como la App Store o Google Play.
  • Si está haciendo alguna compra en línea, solo hágalo en sitios con HTTPS (debería mostrar un candado en la barra de direcciones del navegador junto a la URL). Esto significa que hay menos posibilidades de que los datos puedan ser interceptados.

Finalmente, una práctica siempre recomendable es monitorear los movimientos de nuestras cuentas bancarias y de nuestras tarjetas. Si detecta alguna transacción sospechosa, informe de inmediato al equipo de fraude de su banco/proveedor de tarjeta. Algunas aplicaciones ahora permiten “congelar” todos los gastos en tarjetas específicas hasta determinar si ha habido una violación de seguridad. Hay muchas formas en que los malos obtienen los datos de nuestra tarjeta, pero también podemos hacer muchas cosas para mantenerlos lejos.

Fuente: www.welivesecurity.com

 

En 2020 se duplicaron las detecciones de ataques de ingeniería social

Se duplicaron los intentos de ataque que buscan engañar a los usuarios mediante ingeniería social, ya sea phishing u otro tipo de estafas. Perú, Brasil y México son los países de América Latina en los que se registró la mayor cantidad de detecciones.

Analizamos el comportamiento de las detecciones de ataques de ingeniería social durante 2020 y observamos un importante crecimiento de este tipo de amenazas con respecto a 2019. Si bien durante todo el año fuimos testigos del incremento de las campañas de ingeniería social que utilizaban el tema del COVID-19 para engañar a los usuarios, los datos más llamativos los observamos al analizar los sistemas de telemetría de ESET y comparar ambos períodos.

Cuando hablamos de ingeniería social nos referimos a intentos de ataque en los que actores maliciosos utilizan el nombre de una marca, organización para intentar hacerle creer al usuario que se trata de un correo o mensaje verdadero. El objetivo de esta estrategia es engañar a la víctima para que realice una acción no deseada, como la descarga de malware en el equipo, la entrega de sus credenciales de acceso, el envío de otro tipo de información personal, o desplegar en su dispositivo publicidad no deseada.

Imagen 1. Comparativa de las detecciones de ataques de ingeniería social entre 2019 y 2020.

 

Si bien en agosto de 2019 se registró un crecimiento importante en la curva, una de las particularidades del 2020 es el nivel casi constante de las detecciones de este tipo de amenazas y el crecimiento casi sostenido durante gran parte del año. De hecho, si bien hay una tendencia a la baja durante diciembre (al igual que el año anterior), los niveles son superiores a los de todo el primer semestre de 2020.

Si tomamos como referencia el total de las detecciones año a año se observa un crecimiento de poco más del 200% en 2020, siendo agosto el mes con más cantidad de detecciones.

En marzo hablábamos del importante crecimiento de las campañas de ingeniería social que intentaban aprovechar el temor provocado por la pandemia como excusa para afectar de distinta manera a los usuarios, y desde el Laboratorio de ESET en América Latina analizamos varias campañas que se distribuían a través del correo o WhatsApp en las que se hacía creer a las potenciales víctimas que gobiernos y empresas estaban dando ayudas económicas o que algunas marcas estaban realizando regalos. El objetivo de las campañas varía. Si bien algunas parecen más “inofensivas” al solo buscar desplegar publicidad sin ofrecer lo que se prometía en el mensaje, otras en cambio buscaban robar información personal o incluso afectar los dispositivos con código malicioso.

Perú: el país de América Latina que registró la mayor cantidad de detecciones

Observando en detalle el comportamiento de las detecciones en la región de América Latina, Perú fue el país que registró el mayor porcentaje, con poco más del 31%, seguido por Brasil con más del 18 % y México con casi el 17 % de las detecciones en la región.

Imagen 2. Detecciones de ataques de ingeniería social por país en América Latina durante 2020.

 

Como podemos ver, los ataques de ingeniería social siguen siendo una amenaza muy vigente que afecta tanto al público en general como a usuarios corporativos. Los cibercriminales siguen utilizando esta técnica para el robo de información personal y financiera, y también como estrategia para llevar adelante ataques más sofisticados dirigidos a entidades gubernamentales o empresas. Probablemente la vigencia de esta técnica tenga que ver con las mejoras constantes de los atacantes y también la falta de capacitación y concientización de los usuarios, que en muchos casos aún no saben bien qué es el phishing y esto los hace vulnerables a caer en las trampas de los atacantes.

Para evitar ser víctima de estos ataques, además de contar con una solución de seguridad robusta, confiable y bien configurada, es importante la concientización, tanto individual como también a nivel corporativo. Para ello, las personas pueden realizar tests para poner a prueba sus conocimientos, mientras que las empresas pueden trabajar en la capacitación de sus empleados para evitar que caigan en este tipo de engaños.

Otras recomendaciones de seguridad para prevenir ataques de ingeniería social

  • Siempre evitar abrir enlaces o documentos en correos o mensajes de dudosa procedencia, por mas tentadora que sea la oferta o importante que parezca el mensaje.
  • Implementar el doble factor de autenticación en todos los servicios y aplicaciones que lo permitan. De esta manera se eleva el nivel de seguridad de las distintas identidades digitales y se evita el acceso indebido en caso de sufrir la filtración de credenciales.
  • Intentar verificar por otros medios la autenticidad o procedencia de un mensaje y evitar caer en la tentación de responder o acceder inmediatamente sin antes verificar su legitimidad.
  • En líneas generales, las entidades financieras no solicitan por correo o mensajería instantánea información personal como: códigos de seguridad, claves, datos de tarjetas de crédito o de débito, etc.
  • El usuario debe ser responsable también en el manejo de toda su información y evitar entregar datos personales, sobre todo cuando la comunicación no es iniciada por el propio usuario.

 

Fuente: www.welivesecurity.com

 

Herramienta puede ayudar a evaluar por qué los empleados hacen clic en correos de phishing

Una nueva herramienta elaborado por el NIST puede ayudar a las organizaciones a evaluar las habilidades de los empleados a la hora de detectar correos de phishing.

Investigadores del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos han desarrollado un nuevo método que podría usarse para evaluar con precisión por qué los empleados hacen clic en ciertos correos electrónicos de phishing. La herramienta, denominada Phish Scale, utiliza datos reales para evaluar la complejidad y la calidad de los ataques de phishing para ayudar a las organizaciones a comprender dónde se encuentran sus vulnerabilidades (humanas).

Recordemos que, en su forma más simple, el phishing es un correo electrónico no solicitado, o cualquier otra forma de comunicación electrónica, en la que los ciberdelincuentes se hacen pasar por una organización confiable para engañar a los usuarios y de esta manera intentar robar sus datos. La información robada, como pueden ser las credenciales de acceso a una cuenta o servicio, pueden ser utilizadas por los cibercriminales para realizar más ataques o pueden venderlos en la dark web para cometer fraude o robo de identidad.

Por lo tanto, cualquier empresa u organización que se tome en serio la seguridad de sus activos realiza periódicamente capacitaciones o entrenamientos sobre phishing para ver si sus empleados pueden distinguir entre correos electrónicos legítimos y de phishing. Estas capacitaciones tienen como objetivo aumentar la atención y vigilancia de los empleados y enseñarles a detectar aquellos elementos que permiten identificar los ataques de phishing disfrazados de correos electrónicos legítimos, lo que ayuda a evitar que caigan en la trampa y a la vez protege a las organizaciones de cualquier daño, ya sea monetario o que afecte a su reputación.

Estos ejercicios suelen ser supervisados ​​por los directores de seguridad de la información (CISO) de la organización, que evalúan el éxito o el fracaso de estos ejercicios en función de las tasas de clics; es decir, la frecuencia con la que los empleados hacen clic en un correo electrónico de phishing. Sin embargo, los resultados no explican el problema en su totalidad.

“Phish Scale tiene como objetivo ayudar a proporcionar una comprensión más detallada de si un correo electrónico de phishing en particular es más difícil o más fácil de detectar para un público objetivo en particular”, dijo la investigadora del NIST, Michelle Steves, en el comunicado de prensa que anuncia la nueva herramienta.

Phish Scale analiza dos elementos principales a la hora de evaluar qué tan difícil es detectar un potencial correo de phishing. La primera variable que evalúa la herramienta son las ‘señales de un correo electrónico de phishing’; es decir, signos observables como errores ortográficos, uso de direcciones de correo electrónico personales en lugar de correos electrónicos corporativos, entre otras.

Mientras tanto, la segunda variable tiene en cuenta la ‘alineación del contexto del correo electrónico con el usuario’ y aprovecha un sistema de calificación para evaluar si el contexto es relevante para el objetivo: cuanto más relevante es, más difícil se vuelve identificarlo como un correo electrónico de phishing. Basándose en una combinación de estos factores, Phishing Scale clasifica la dificultad de detectar el phishing en tres categorías: mínima, moderada y muy difícil.

Estas categorías pueden proporcionar información valiosa sobre los ataques de phishing en sí mismos, así como ayudar a determinar por qué es más o menos probable que las personas hagan clic en estos correos electrónicos.

Phish Scale tiene como objetivo proporcionar a los CISO una mejor comprensión de los datos que se desprenden de la tasa de clics, por lo que no se basan únicamente en el resultado numérico. “Una tasa de clics baja para un correo electrónico de phishing en particular puede tener varias causas: los correos electrónicos utilizados como parte de la capacitación sobre phishing son demasiado fáciles de detectar o no brindan un contexto relevante para el usuario, o el correo electrónico de phishing es similar a uno utilizado en un ejercicio anterior. Por lo tanto, si la tasa de clic se analiza por sí misma sin comprender la dificultad del correo electrónico de phishing, la interpretación de los datos puede llevar a una falsa sensación de seguridad”, dijo NIST.

Si bien todos los datos que se utilizaron para alimentar la herramienta Phish Scale se han originado en el NIST, el instituto espera probar la herramienta en otras organizaciones y empresas para evaluar su funcionamiento. Una vez que puedan refinar la herramienta, esperan poder sacar Phis Scale del entorno de la investigación y ofrecerla para su utilización.

Fuente: www.welivesecurity.com

Mensajes y asuntos de correo más utilizados por los cibercriminales

Repasamos cuáles fueron los mensajes y los asuntos de correo que más efectivos resultaron para los cibercriminales al momento de llevar adelante sus ataques de ingeniería social en 2019.

Al igual que en otros años, este 2019 uno de los ataques más efectivos han sido los de ingeniería social, entre ellos los ataques de phishing. Si bien ya hemos hablado anteriormente en varias oportunidades acerca de este tipo de ataque, a continuación, vamos a repasar algunos de los conceptos que explican el porqué de este fenómeno.

Un detalle, que no es nuevo, sino que se ha mantenido a lo largo de los últimos años, inclusive en 2019, es el hecho de que los cibercriminales permanentemente están buscando mejorar sus técnicas para llevar adelante ataques cada vez más ingeniosos y elaborados. Esto lo hemos visto, por ejemplo, en una gran cantidad de campañas de phishing analizadas durante el 2019 en las cuales se incorporaron certificados SSL en los servidores, logrando de esta manera que el mismo navegador le informe al usuario que está navegando en una página “segura”. También han sido una constante los mensajes que apuntan directamente a dispositivos móviles, en los cuales la URL completa es muy difícil de ver, al igual que el crecimiento de los ataques homográficos, donde la dirección del sitio al que se invita a acceder es prácticamente la misma que el sitio real.

Los mensajes más efectivos a la hora de buscar captar posibles víctimas, según el último reporte de KnowBe4, son los relacionados a los problemas se seguridad de los usuarios finales; principalmente los dirigidos a entornos corporativos. Entre ellos, los que utilizan algunas de las siguientes excusas:

  • Verificación de contraseña requerida de forma inmediata
  • Un intento de entrega fue realizado
  • Desactivación de la [dirección correo] en proceso
  • Nuevos “food trucks” llegan a la [nombre de la empresa]
  • Nuevos beneficios para los empleados
  • Política de vacaciones y licencias por enfermedad revisada
  • Tiene un nuevo mensaje de voz
  • Nuevos cambios en la organización
  • Cambio de contraseña requerido de forma inmediata
  • Revisión de personal [año]

El uso de mensajes de tipo corporativo se explica a partir de la intención de buscar comprometer sistemas de empresas para así lograr exfiltrar su información.

Otra modalidad que estuvo muy presente este año fue la que se conoce como Business Email Compromise (BEC), que no se trata de otra cosa que de correos dirigidos en los que los cibercriminales suplantan la identidad de la cuenta de correo de una empresa (ya sea mediante técnicas de spoofing o directamente habiendo conseguido acceso a la misma) con la finalidad maximizar la efectividad del mensaje enviado al hacerse pasar por un remitente conocido. Generalmente, el contenido de estos mensajes está relacionado a temas de injerencia directiva o decisoria en cuanto; por ejemplo, un mensaje que reciben todos los empleados desde una supuesta casilla de recursos humanos, o bien un departamento determinado (financias por nombrar alguno) que recibe un pedido urgente por parte de su superior.

Según el reporte al respecto de la empresa Barracuda, este tipo de ataques son veinte veces más efectivos que los phishing convencionales y han generado pérdidas superiores a los 26 mil millones de dólares en los últimos 4 años.

Volviendo al tema de los mensajes que incluyen en el asunto de los correos de phishing, algunos de los asuntos que más clics generaron durante 2019 en correos que apuntaban a cuentas no corporativas, son los siguientes:

  • Nuevo mensaje de voz en Skype
  • Reembolso de la transacción
  • [Nombre de un contacto] compartió un documento contigo
  • Microsoft Teams: por favor autentificar su cuenta
  • Bonos para empleados seleccionados
  • Cisco Webex: su cuenta de ha sido bloqueada
  • Amazon: dirección de facturación no coincide
  • USPS: Paquete de alta prioridad: ¡Verifique por dónde va!
  • Verizon: actualización seguridad
  • Adobe Cloud: compartieron un documento con usted

En la mayoría de los casos los ciberdelincuentes buscan enviar correos con este tipo de mensaje en el asunto para robar credenciales de acceso a servicios masivos, ya sea con la finalidad de obtener datos sensibles de las víctimas almacenados en los mismos o generar bases de datos para luego comercializarlas en el mercado negro.

En el caso de los mensajes que buscan captar credenciales de redes sociales, el reporte muestra que LinkedIn, la red social de perfiles corporativos y laborales, recibe casi la mitad de los intentos, con el 48% de los envíos con mensajes del tipo: “Agrégame”, “Su cuenta aparece en nuevas búsquedas”, “Su perfil fue visitado”, “Reseteo de contraseña” o “Pedido de desactivación”.

Redes sociales más apuntadas

En el caso de Facebook, los mensajes más frecuentes son del tipo: “Alguien te mencionó en una publicación”, “Tus amigos te etiquetaron en las siguientes fotos”, “Cuenta de correo principal modificada”.

En menor medida, en el caso de Twitter los mensajes que se registraron con mayor frecuencia son del tipo: “Alguien te envió un mensaje directo” o los servicios online de Motorola con “Alerta de acceso de Chrome en Motorola Moto X”.

Cómo estar protegido ante este tipo de ataques

Algunas de las prácticas recomendadas para estar protegidos ante este tipo de ataques, son:

  • Verificar la dirección del remitente. Si bien los cibercriminales en algunas oportunidades utilizan técnicas como el spoofing de remitente, a través de las cuales pueden hacerse pasar por una dirección real, si se verifica el encabezado del mismo se puede llegar a detectar que el envío se realizó a través de otro servidor.
  • En caso de que el remitente sea el real, pero se dude de la veracidad del mensaje, contactarlo por otro medio y validar si el mensaje realmente existió.
  • De la misma manera que es necesario verificar el remitente, se debe analizar minuciosamente el enlace al cual se invita a hacer clic. En general no se recomienda acceder directamente a un enlace que viene incluido en un mensaje. Si se trata de un caso real y el usuario debe acceder a su cuenta, es recomendable que lo realice de la manera tradicional, desde su acceso directo, a través de una app o ingresando manualmente la URL del servicio al cual desea acceder en el navegador.
  • Es sumamente importante activar en todas las cuentas que así lo permitan el Doble Factor de Autenticacion, ya que, de esta manera, en caso de que el usuario se haya visto afectado por una filtración de sus credenciales, este código aleatorio que llega al dispositivo móvil vía aplicación o SMS, es muy difícil de adivinar u obtener.
  • Para los usuario de Google Chrome es posible activar la extensión de verificación de contraseñas, la cual permite recibir alertas en tiempo real si se quiere utilizar una contraseña que ha formado parte de alguna filtración.

Como siempre decimos, el primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse unos minutos para corroborar que no hay nada sospechoso. Para eso, recomendamos leer 8 señales que indican que eres un blanco fácil de las estafas por Internet, un artículo en el que encontrarás una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios. Por último, para el próximo año plantéate la meta de utilizar mejores contraseñas. Para ello te recomendamos leer el siguiente artículo: Contraseñas, la llave maestra de tu información.

Fuente: www.welivesecurity.com

Por qué los ataques de phishing siguen siendo tan efectivos

Según datos publicados por Google, una de las razones por las que el phishing sigue siendo efectivo es que el 45% de los internautas no comprende bien qué es

En una de las charlas que tuvieron lugar en la reciente edición de la conferencia de seguridad BlackHat, que se celebró en agosto, Elie Bursztein de Google y Daniela Oliveira, de la Universidad de Florida, explicaron por qué los ataques de phishing siguen siendo tan efectivos en la actualidad. En este sentido, los especialistas identificaron algunos puntos clave para explicar este fenómeno, entre los cuales está: su constante evolución, las técnicas de persuasión que utilizan y el poco conocimiento de los usuarios acerca de qué es el phishing.

Phishing scam, hacker attack and web security vector concept. Illustration of phishing and fraud, online scam and steal

Uno de los métodos más comunes mediante el cual los cibercriminales intentan llevar adelante sus acciones maliciosas es a través de correos de phishing. La mayoría de los usuarios experimentó alguna vez abrir un correo de esta naturaleza en los que se suplanta la identidad de alguna marca solicitando que hagamos clic sobre un enlace o descarguemos un adjunto, ya que después de todo, se trata de una práctica que ya tiene más de 20 años. Sin embargo, continúa siendo al día de hoy una de las formas más comunes que utilizan los cibercriminales en su intento por llevar adelante sus acciones maliciosas.

Pero, antes de continuar, aclararemos qué es el phishing por las dudas que alguno de los lectores no lo tenga del todo claro. Por phishing nos referimos a mensajes maliciosos distribuidos a través de medios digitales, tales como correo electrónico o WhatsApp, que buscan influenciar a un usuario para que lleve adelante una acción que va en contra de sus intereses, como puede llegar a ser realizar clic en un enlace malicioso, abrir un adjunto malicioso e incluso leer información falsa. Dicho esto, las consecuencias de un phishing pueden ser desde la instalación de un software malicioso, el robo de credenciales de acceso a cuentas y/o la manipulación de la opinión de los usuarios.

Para comprender el papel protagónico que tiene el phishing en el escenario de la seguridad actual, Google, por ejemplo, bloquea más de 100 millones de correos de phishing por día. Por otra parte, según un informe global publicado este año por Verizon, el 32% de las brechas de seguridad que se conocieron en 2018 comenzaron por un phishing y el 78% de los incidentes de seguridad que tenían como objetivo tareas de espionaje o la instalación de un backdoor, fueron llevados adelante mediante ataques de phishing.

La constante evolución del phishing

La constante evolución del phishing es una de las claves que explican su vigencia. Según datos compartidos durante la presentación en BlackHat, el 68% de los correos de phishing bloqueados de manera diaria por Gmail están compuestos por nuevas variantes que nunca antes se habían visto, lo que obliga a los mecanismos de defensa humanos y tecnológicos a tener que adaptarse rápidamente para prevenir estos ataques. A esto se suma un problema de educación, ya que según cifras compartidas por los especialistas el 45% de los internautas no comprende bien qué es el phishing.

El arte de la persuasión a través de los correos

Otro aspecto que explica la vigencia del phishing es que los responsables detrás del diseño de estas campañas se han convertido en expertos de la persuasión. Según una investigación realizada por Oliveira, los cibercriminales se han transformado en maestros en el manejo de técnicas para la manipulación psicológica. Nuestra habilidad para detectar un engaño difiere de persona a persona, dado que existen una gran cantidad de factores que influyen en la decisión que tomamos cuando estamos frente a un correo de phishing, tales como la personalidad, el estado de ánimo en un momento específico, la motivación cognitiva, la inteligencia emocional e inclusive un factor hormonal. En este sentido, cuando estamos de buen humor y nuestros niveles de oxitocina, serotonina y dopamina aumentan, somos más propensos a ser engañados, mientras que cuando los niveles de cortisol son elevados (comúnmente asociados al estrés) es más probable que seamos más cautelosos y estemos más atentos.

Según describe Oliveira, existen tres tácticas persuasivas comunes en los correos de phishing: el uso de una autoridad respetada por el usuario, la promesa de un beneficio económico si el individuo interactúa con el correo (o la pérdida económica en caso de ignorarlo); y por último, la apelación al factor emocional.

Muchas campañas de phishing son dirigidas a blancos específicos

Otro aspecto para comprender por qué sigue siendo utilizado el phishing por los actores maliciosos es la personalización de las campañas. A partir de los correos que Google bloquea de manera diaria elaboraron una categorización según el grado de especificidad de sus blancos de ataque.  En este sentido, están por un lado los ataques conocidos como “spearphishing”, que son aquellos correos personalizados y que van dirigidos a una persona específica dentro de una organización. De hecho, en WeLiveSecurity hemos publicado análisis de una gran cantidad de campañas de malware que comienzan con este tipo de correos especialmente dirigidos, como fue a principios de agosto el análisis de Machete y su campaña de ciberespionaje en curso que apunta a organizaciones gubernamentales de América Latina.

Otra categoría, a la cual denominaron “boutique phishing”, corresponde a campañas de phishing personalizadas –no tanto como las anteriores- que apuntan a un par de decenas de individuos u organizaciones. Por último, la tercera categoría corresponde a los correos de phishing masivos, que son aquellos que van dirigidos a miles de individuos u organizaciones.

Un dato interesante es que las campañas de “boutique phishing” duran apenas siete minutos, mientras que las campañas masivas están activas en promedio durante 13 horas.

En cuanto a los blancos de ataque, según Google la mayoría de las campañas de phishing están dirigidas a Gmail; siendo muchas de las campañas dirigidas hacia usuarios finales, mientras que las dirigidas a perfiles empresariales apuntan a un número limitado de individuos. Asimismo, el perfil empresarial es casi cinco veces más apuntado que los usuarios finales, seguido por organizaciones no gubernamentales.

En cuanto a la suplantación de identidad, en el 42% de los ataques de phishing las páginas utilizadas simulan ser sitios legítimos de servicios de correo con el objetivo de que las víctimas ingresen sus claves de acceso. En segundo lugar, se suplanta la identidad de servicios en la nube con un 25%, seguido por páginas que simulan ser de instituciones financieras con un 13%, sitios de ecommerce en un 5% y de servicios de envío en un 3.9%.

Cómo evitar ser víctima del phishing 

Si bien quienes están detrás de las campañas de phishing han evolucionado logrando que luzcan cada vez más convincentes, la educación sigue siendo un factor clave para reducir el número de víctimas de este tipo de ataque. En este sentido, Google publicó un test online para poner a prueba la capacidad de los usuarios de reconocer un correo de phishing en un intento de capacitar y que cada vez más personas sean capaces de reconocer si están frente a un correo sospechoso o no.

Otro factor clave para reducir el número de víctimas del phishing es implementar el uso del doble factor de autenticación en todos los servicios que esté disponible, ya que esta capa de seguridad adicional que se agrega ayuda a evitar que terceros puedan acceder a nuestras cuentas en caso de ser víctimas del robo de nuestras credenciales de acceso en una brecha. De hecho, un estudio publicado por Google este año demostró que el doble factor de autenticación es la solución más efectiva para prevenir el secuestro de cuentas.

El primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse un segundo para pensar, por lo que recomendamos la lectura de 8 señales que indican que eres un blanco fácil de las estafas por Internet, artículo en el que encontrarás una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios.

Fuente: www.welivesecurity.com