Está a la vuelta de la esquina el Black Friday y Cyber Monday, y son días en las que se multiplican las compras en línea, plagadas en muchas ocasiones de ofertas que no son lo que aparentan y resultan en el robo masivo de datos y dinero de los usuarios. El problema es que el ‘Typosquatting‘ ‘vishing’ y ‘smishing’ son solo algunas de las técnicas más usadas por los ciberdelincuentes que emplean en estas fechas.
En los últimos años, el día después de Acción de Gracias -el último jueves de noviembre- y el lunes siguiente se han consagrado como dos fechas importantes en el calendario para comprar los regalos de Navidad, ya sean productos de consumo o servicios.
Esta situación es más que favorable para los ciberdelincuentes, que diseñan diferentes campañas de ingeniería social -ataques diseñados para engañar a los usuarios para acceder a información útil- para aprovechar el movimiento de compras y datos, por lo que conviene tener en cuenta cuáles son los más frecuentes en estos días.
Alerta de cupones falsos y promociones ‘flash’
En primer lugar, conviene apuntar que en estos días de compras se dan con frecuencia los fraudes con cupones falsos, descuentos y las conocidas promociones ‘flash’, que buscan atraer a los usuarios más desprevenidos que creen que no deben dejar escapar una oferta demasiado atractiva.
Estos también suelen ser víctimas del denominado ‘malvertising’ o distribución de anuncios ‘online’ que emplean los ciberatacantes para distribuir programas maliciosos o redirigir el tráfico del usuario.
También se da una amplia difusión de aplicaciones maliciosas, diseñadas con la intención de robar datos haciéndose pasar por otras legítimas, dañar dispositivos o comprometer la seguridad de los usuarios, que acaban convertidos en víctimas tras su instalación.
A pesar de que Black Friday y Cyber Monday son fechas señaladas para los ciberdelincuentes, éstos también aprovechan la ocasión para ejecutar campañas con técnicas tan sencillas y efectivas como el ‘typosquatting’, que consiste en crear tanto ‘apps’ como webs falsas aprovechándose de errores tipográficos comunes y cambiar letras y números que tienen apariencia muy parecida. Por ejemplo, la letra ‘o’ por un cero (0) o la letra ‘l’ por una ‘i’ mayúscula (I).
Si bien no son exclusivos de estos días de compras, en estas fechas nunca faltan los ataques de ‘phishing’, fraudes a través de correos electrónicos dirigidos a la obtención de datos personales y financieros. Este consiste en engañar a un usuario haciéndose pasar por una empresa, servicio o persona de confianza.
Cuidado con las páginas web ‘clonadas’
Para ello, los estafadores crean un correo electrónico aparentemente legítimo y envían comunicaciones que requieren una acción inmediata. Por ejemplo, hacer clic en un enlace que dirige a una página web que resulta ser falsa, a pesar de que pueda tener una apariencia legítima.
Aprovechando esta técnica, conviene apuntar que también es habitual la clonación de sitios web, páginas ilegítimas que los actores maliciosos emplean para recoger información de identificación personal (PII), credenciales de acceso y datos personales de los consumidores.
En ambos casos, y para que los usuarios no acaben mordiendo el anzuelo, es recomendable acceder al servicio propuesto a través del navegador, introduciendo en ellos la url enviada a través de estos mensajes de forma manual, en lugar de hacer clic directamente sobre el enlace.
El ‘vishing’ también apunta a una presunta urgencia a través de llamadas telefónicas falsas, en las que los agentes maliciososo se hacen pasar por alguna empresa o servicio para obtener información confidencial. Lo más habitual es que suplanten la identidad del banco e informen de un presunto problema con las tarjetas de crédito de las víctimas y que precisan información personal para bloquearlas para evitar fraudes.
En la línea con estas estafas telefónicas, conviene recordar que se ha multiplicado un nuevo tipo de engaño donde la víctima recibe una llamada y, cuando responde con un ‘sí’, salta una locución en la que se avisa de que ha formalizado la contratación de un servicio determinado.
Los usuarios, desconcertados, devuelven la llamada y dan sus datos confidenciales para, presuntamente, cancelar ese servicio, de manera que dejan expuesta toda su información personal para que los ciberdelincuentes hagan con ella lo que se les antoje, incluso contratar otro servicio a su costa.
Alertan que ‘smartphones’ son vulnerables
Como se ha visto, la gran mayoría de campañas maliciosas tienen por objetivo los ‘smartphones’ de las víctimas, algo lógico teniendo en cuenta que se trata de un dispositivo que acompaña al usuario allá donde vaya y funciona como un pequeño ordenador.
Por ello, además de las estafas comentadas, no está de más vigilar de cerca los mensajes SMS y las tarjetas SIM. Esto, porque también son frecuenten las campañas de ‘smishing’, una técnica de ingeniería social del mismo corte que el ‘phishing’, que emite la estafa a través de un SMS.
El duplicado de tarjeta SIM recibe el nombre de SIM ‘swapping’ y tienen lugar después del robo de la información de las víctimas, cuando los atacantes se hacen pasar por ellas para solicitar un duplicado de su tarjeta SIM. En muchas ocasiones, para conseguirla es suficiente llamar a la compañía de teléfono y dar el DNI y el nombre completo.
Una vez quedan expuestos, es muy común que cuando los atacantes quieran acceder a un servicio ‘online’, como una aplicación o la banca electrónica, se les solicite una identificación extra, para lo que se les envía un SMS. En caso de que ese código de seguridad no se haya solicitado, conviene llamar a la compañía telefónica para que anule el duplicado de la tarjeta.
Con información de Europa Press
