top of page
Buscar

Estafas comunes de Phishing y cómo prevenirlas


Creo que por ahora todos hemos sido contactados por un príncipe nigeriano en busca de alguien que lo ayude a mover su riqueza fuera del país a cambio de una parte de su fortuna. Todos sabemos que es una estafa, pero ¿ sabía que un 30% de ustedes siguen haciendo clic en enlace de estafa?

Las estafas de phishing en particular son cada vez más sofisticadas en estos días que la mayoría de nosotros necesitará una lupa sólo para detectar las inconsistencias que regalan su naturaleza fraudulenta.

En la publicación de hoy, le diremos exactamente cómo reconocer una estafa de phishing y compartir algunos ejemplos clásicos que hemos encontrado.

En primer lugar, ¿Qué son las estafas de phishing?

El término ¨phishing" fue acuñado en 1996 por hacker que robaban cuentas y contraseñas de America Online(mejor conocida como AOL). Empleando la analogía de la pesca con caña, Los estafadores usaban "señuelos" de correo electrónico poniendo "ganchos" para "pescar" las contraseñas y los datos financieros. La letra "f" a menudo se intercambiaba con "ph" como un engaño a la forma original de hacking conocido como "phone phbreaking" la ingeniería inversa de varios tonos utilizados para re orientar las llamadas de larga distancia.

Mientras estos "phreakers" manipulaban las secuencias de tono para obtener llamadas gratuitas, el acto mismo podría ser argumentado como sin víctimas(Bueno , excepto para las compañías telefónicas). Este no es el caso con los ataques de phishing. Los Phishers intentan engañar, robar o socialmente ingeniarle para que divulgue su información privada. A medida que las empresas ponen complejos mecanismos de seguridad en su lugar para protegerse contra el acceso no autorizado, los criminales apuntan al elemento más débil del sistema : usted.

Entonces ¿Qué tipo de estafas de phishing están ahí fuera?

Hay dos tipos principales de estafas de phishing:

Fraude de tarifas avanzadas

Una estafa por adelantado es un tipo de fraude que implica prometer a la víctima una parte significativa de una gran suma de dinero a cambio de un pequeño pago inicial. Si una víctima hace el pago, el defraudador inventará una serie de nuevas tarifas para que la víctima siga pagando, o simplemente desaparecerá.

Estafas de phishing tradicionales

El phishing es el intento de obtener información confidencial como su nombre de usuario, contraseña y detalles de la tarjeta de crédito pretendiendo ser una entidad confiable como Microsoft, Amazon, PayPal o incluso su banco.

Mientras que la mayoría de las estafas de phishing tradicionales se implementan vía correo electrónico muchos intentos de phishing ocurren a través de las redes sociales e incluso a través de sus suites de trabajo como Dropbox y Google Docs.

A lo largo de los años lo hemos visto todo, como ese tiempo un scambot de Skype trató de atraer a nuestro CEO a escribir los detalles de su tarjeta de crédito.

O esa otra vez cuando nos unimos a Bleeping Computer para ver a un estafador de "soporte técnico" trataba de convencernos de que nuestra máquina virtual estaba infectada con "trozens", así que compraríamos su producto falso.

De hecho: las estafas de soporte técnico son tan comunes

Si bien hay innumerables maneras diferentes de phish, estos son los ejemplos de estafa de phishing más comunes:

Phishing engañoso

Independientemente del método de administración, por ejemplo ; Skype, correo electrónico o llamada telefónica , phishing engañoso es un estafador que se hace pasar por una empresa legítima para recibir algo de usted, ya sea su información personal para el robo de identidad, los detalles de su tarjeta de crédito o para sentirse presionado a comprar un producto que puede o no existir. Los criminales de los métodos están utilizando para hacerle creer que el sitio que usted está abriendo es el reparto verdadero que es cada vez más listo, como demostraremos en nuestro ejemplos más adelante.

Lanza phishing

Son engañosos ataques de phishing, pero en lugar de tratar de estafar a toda una población de personas, los ataques son dirigidos. Puede recibir un correo electrónico que incluya su nombre, cargo, nombre de la empresa y número de teléfono de trabajo, o una solicitud de contacto en Skype en la que se encuentre directamente confrontado con información personal.

Fraude CEO

Se trata de un tipo phishing de lanza en el que las credenciales de un ejecutivo de negocios se controlan mediante un correo electrónico de phishing, una llamada de engaño o una estafa de skype. Estas credenciales se utilizan para realizar actividades fraudulentas . Ejemplos comunes incluyen Larry Page de Google mismo que le escribe para notificarle sobre los sorteos "oficiales".

Phishing de almacenamiento en la nube

Utilizando las suites que muchas personas confían ahora en el trabajo, estas estafas de phishing se llevan a cabo a través de documentos compartidos. En anteriores estafas de phishing, Google y Dropbox incluso sin saberlo han recibido estas estafas en el pasado con certificados SSL, lo que significa que estas estafas parecían 100% legítimas.

Re-direccionamiento

Redirecciona el tráfico de un sitio legítimo a uno malicioso sin su conocimiento. Cualquier información personal que entre en esta página va directamente a los estafadores. Estas páginas se alcanzan generalmente a través de enlaces compartidos en correos electrónicos de phishing engañosos, chat de skype y anuncios de redes sociales.

Cómo funcionan los ataques phishing avanzados con tarifa : Hablando con un estafador

Este correo electrónico apareció en mi bandeja de entrada de "UBS Investment Bank London" a principios de esta semana. El correo electrónico del remitente givebombo@yahoo.com, despertó mi interés.

Me divertí con las muchas inconsistencias en el correo electrónico , como el hecho de que no tenía ningún sentido. No pude evitarlo. Tenía que saberlo . ¿Cuál era el trato?¿Quién era Jerry Joe?

Así que lo llamé

El número de teléfono se conecta a un hombre en Basingstoke, Inglaterra, que no sabía qué decir hasta que le pregunté por qué me envió un correo electrónico. Continuó pidiéndome mi nombre mientras yo le preguntaba y me aseguró repetidamente que si simplemente le diera mi nombre completo, él seria capaz de darme más información sobre la aventura de negocios que estábamos a punto de embarcarnos juntos.

Cuando no pude superar las demandas de Jerry Joe por mi información personal por teléfono, respondí desde una dirección de corro electrónico diferente para obtener más información.

Dentro de una hora no había recibido nada más que un ensayo.

¿Un corte de 40% de casi $8M? ¿100% de éxito garantizado? Dulce! Si yo no estaba ya vendido en esta maravillosa oportunidad, tuve los siguientes apegos para convencerme.

Aunque me sorprendió que el extracto de cuenta de 2014 parecía impreso en papel desde los años 80, todo esto parecía increíblemente convincente. El continuó diciendo:

Ahora aseguró "esto no era un juego de niños", y que "nada estúpido va a pasar en este negocio ya sea ahora o más tarde" Yo me sentía seguro de brindar a mi hermano / compañero la información :

  • Mi nombre Completo.

  • Mi dirección

  • Edad

  • Ocupación

  • Estatus Matrimonial

  • Copia de un documento de identificación personal.

Sólo puedo imaginar si hubiera proporcionado estos datos, este "SIR" habría tenido su identidad utilizada en línea para estafar a otras almas pobres. Y no puedo imaginar que este es el único objetivo de la estafa. A menudo hay algunos "pequeños honorarios" necesarios para facilitar la transferencia de mi nueva fortuna adquirida. Ofrezco los datos de mi tarjeta de crédito o envío dinero a través de Western Union o PayPal.

El comediante británico James Veitch, en repetidas ocaciones, conversa con los correos electrónicos fraudulentos en un intento de extraer algún capricho del azote de Internet. En sus palabras, el tiempo perdido con el es el tiempo que estos estafadores no están fuera estafando a los adultos de sus ahorros. Los resultados son hilarantes.

Aunque es obvio en el contexto de este post que los ejemplos anteriores son efectivamente estafas, y aunque es cómico de ver , este es un problema grave. Todavía hay muchos que son capaces de ser convencidos de renunciar a su información a través de caer por el correo electrónico a la estafa inicial o ser acosados hasta que están dispuestos a hacerlo. Si recibe un mensaje de correo electrónico como el anterior , simplemente elimínelo.

¿Pero qué pasa con los emails de estafa menos obvios?

Cómo identificar una estafa de phishing tradicional

Piense en lo meticuloso que es acerca de su ortografía en un correo electrónico a un cliente, su jefe o un colega de trabajo. Ahora imagine la importancia de una organización financiera, como su banco, pondría en garantizar toda la comunicación de marca fue presentada inmaculadamente.

Si usted recibe un correo electrónico que se parece a esto, puede estar seguro de que no procede de Bank of Scotland:

Aunque el diseño general es bastante ordenado, la dirección de correo electrónico incorrecta, es su primera pista de que algo no está bien. La mayúscula aleatoria en el texto del encabezado principal puede no darle sospecha, pero la solicitud para que usted inmediatamente iniciara sesión y corregir sus datos debe.

No hay una organización financiera en la tierra que te llevaría a un sitio de terceros para iniciar sesión en tu cuenta. Si recibe un correo electrónico como este, vaya a su banca en línea directamente desde el sitio web de su banco en una ventana aparte. Compruebe sus mensajes seguros desde dentro de banca por internet. ¿Ves algún mensaje sobre tu cuenta en línea? no lo creo.

Los estafadores aprovechan el hecho de que constantemente estamos siendo bombardeados con información a todas horas del día. Es fácil hacerse complaciente acerca de lo que estamos haciendo clic y a quién estamos dando nuestra información.

Pista para estar pendiente:

  1. Un correo electrónico se dirige vagamente con saludos como "Estimado cliente potencial" o "Estimado Cliente"

  2. El sujeto usa un lenguaje urgente y / o amenazador como "Cuenta suspendida" o "Intentos de inicio de sesión no autorizados".

  3. Se le está ofreciendo mucho dinero sin ninguna razón.

  4. El correo electrónico simplemente no tiene sentido.

  5. El mensaje parece ser de una agencia gubernamental.

  6. Un correo electrónico , una llamada telefónica o una solicitud de contacto es completamente no solicitada y no se inició por ninguna acción de su parte.

  7. Se le pedirá que entregue información personal como los datos de su cuenta bancaria, la información de su tarjeta de crédito o que esté siendo re dirigido para iniciar sesión con sus credenciales de banca por internet.

  8. Algo simplemente no esta bien. Si una oferta parece demasiado buena para ser verdad o usted apenas siente en su interior que algo está mal , es probablemente.

61 visualizaciones

Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page