Ir al contenido principal

Técnicas de engaños que utilizan los ciberdelincuentes para robar tu información confidencial

 

Cada año se incrementan los casos de fraude digital que utilizan técnicas de ingeniería social para engañar a los usuarios, alarmándolos con riesgos informáticos o seduciéndolos con ofertas, ingresos u otro tipo de beneficios, por eso traemos este artículo.

Phishing

El Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar.

Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias, y vender información personal en el mercado negro.

El origen del nombre “phishing” es fácil de rastrear. El proceso de llevar a cabo una estafa de phishing es muy similar al de la pesca (“fishing” en inglés). Se prepara el anzuelo pensando en engañar a una víctima, y luego se lanza y se espera a que pique, Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo.


En los años 70, se formó una subcultura en torno a los ataques de baja tecnología para explotar el sistema telefónico. Estos primeros hackers se llamaban “phreaks”, una combinación de las palabras inglesas “phone” (teléfono) y “freak” (raro, friqui).

Vishing

El vishing es un tipo de ingeniería social que, al igual que el phishing y el smishing, persigue obtener datos personales y/o bancarios de los usuarios; pero en este caso el fraude se comete a través de una llamada telefónica, engañando a la víctima mediante la suplantación de la identidad de un tercero de confianza.

¿Cómo sucede el fraude telefónico?

Las llamadas de vishing pueden ser muy diversas, ya que dependiendo del objetivo del ciberdelincuente, variará el contenido de la llamada.

Actualmente es necesario estar alerta sobre algunos fraudes sofisticados en los que se suplanta al banco y se ofrecen datos del cliente para generar confianza y que éste facilite la información solicitada sin sospechas.


Smishing


El smishing (de SMiShing; a su vez, de SMS y fishing) es un tipo de delito o actividad criminal a base de técnicas de ingeniería social con mensajes de texto dirigidos a los usuarios de telefonía móvil.

Como funciona

Es una estafa en la cual, por medio de mensajes SMS, se solicitan datos o se pide que se llame a un número o que se entre a un sitio web.

El sistema emisor de estos mensajes de texto, o incluso un individuo que suele ser un spammer, intentará suplantar la identidad de alguna persona conocida de entre nuestros contactos, o incluso a una empresa de confianza.

Las víctimas de smishing reciben mensajes SMS similares a estos:

"Estamos confirmando que se ha dado de alta para un servicio de citas. Se le cobrará 2 dólares al día a menos que cancele su petición: www.?????.com."

"El cheque es preparado para usted. Favor gracias de llamarnos para completar las informaciones al número ?????"


QRishing

El QRishing (QR + Phishing) se define como una técnica que usa la ingeniería social para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR para usar esos datos con propósitos maliciosos

Dice el dicho “hecha la herramienta, hecho el ataque”, cuando se trata de tecnologías. El mundo cibernético evoluciona a ritmos acelerados, al nivel que cada día, así como se presentan novedades, se desarrollan nuevas amenazas. Hoy se habla QRishing: una modalidad de robo cibernético que es una combinación entre códigos de QR y phishing.

El QRishing como una técnica que usa la ingeniería social para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR.

Al escanear, el usuario es dirigido a un sitio web falso, donde piden las credenciales o información sensible para usar esos datos con propósitos maliciosos. Esto demuestra que el phishing se sigue reinventando.


Está claro que no todos los QR son “buenos”, entre las recomendaciones y buenas prácticas para evitar ser víctimas de dichos ataques destacan:

  • Desactivar la opción de abrir automáticamente los enlaces al escanear un código QR.
  • Usar aplicaciones de escaneo que permitan ver a qué URL dirige ese código antes de abrirlo.
  • No escanear códigos QR de dudosa procedencia: verificar la identidad del autor (persona o entidad), confirmar que es quien dice ser.
  • En caso de realizar pagos o transacciones financieras con QR, comprobar que la operación se haya realizado según lo esperado para comprador y vendedor.
  • Si el código QR está físico, antes de escanearlo, comprobar que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegados sobre el código real.
  • En caso de gestionar un negocio, comprobar periódicamente que los códigos QR que se utilizan no hayan sido falseados.
  • Si el código QR lleva a una página en la que se pide información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante parar a pensar un momento si el contexto lo requiere.











Por: Ing. Arnaldo Abreu, CSFPC™, SFPC™














Comentarios

Entradas populares de este blog

Descargar AnyDesk

Conéctese a un ordenador de forma remota desde el otro extremo de la oficina o desde cualquier parte del mundo. Gracias a AnyDesk, contará con conexiones seguras y fiables de escritorio remoto para profesionales informáticos y usuarios en movimiento DAR CLICK EN DESCARGA

Uber sufre un gigantesco hackeo: el atacante dice tener acceso a toda la información de la empresa

Uber  vuelve a sufrir un ciberataque  en el que habrían quedado expuestos la mayoría de sistemas informáticos y  robado informes internos que harían más vulnerable a la empresa para futuros ataques . El pirata informático responsable de este ataque habría conseguido acceder a la mayoría de sistemas internos de la empresa,  incluidos el software de seguridad, los servidores con las operaciones de transporte  y los servicios de mensajería internos. a empresa asegura estar trabajando con la policía para investigar lo sucedido, pero no da más detalles del nivel de gravedad del ataque. Mientras, el atacante afirma haber accedido como administrador a todo el sistema de Uber y  muestra en capturas ese acceso total a la empresa y sus puntos más sensibles. Acceso a todo Uber "Anuncio que soy un hacker y Uber ha sufrido una violación de datos", con este mensaje informaba el hacker a toda la empresa del hackeo a través de su canal interno en Slack. Después el pirata ha compartido captur

Qué es realmente el 'doomscrolling' y cómo parar de hacerlo.

  "El terror, cuando se observa desde la comodidad del hogar, tiene un efecto potencialmente calmante" --------------------------------------- Si no puedes apartar la mirada de las malas noticias y los contenidos negativos que proliferan por la red, lo mejor es que le pongas remedio con estos consejos de expertos. La pandemia ha producido numerosos efectos en la psicología de las personas.  Tanto tiempo encerrados en casa y pendientes de las últimas noticias  ha hecho que hayamos desarrollado una serie de manías de las que será difícil desprendernos en el futuro. Una de ellas es el ' doomscrolling ', que se refiere a la adicción de consumir información negativa sobre diversos asuntos, pero especialmente sobre la pandemia. ¿Te has quedado más de una noche en la cama leyendo noticias o reportajes en el móvil que no auguraban nada bueno? ¿Demasiadas horas en YouTube visionando largos debates o canales cuyos contenidos eran en su mayoría predicciones muy negativas so