ESET revela nueva amenaza de correo

ESET alerta a los usuarios de iTunes sobre un nueva campaña de phishing que circula vía correo electrónico, y que apunta a obtener las identificaciones Apple ID basada en la música de una cantante popular.

Lucas Paus, especialista en Seguridad Informática para Latinoamérica, afirma: ‘El objetivo es atraer la atención de la mayor cantidad posible de usuarios. Y, para ello, suelen utilizar como anzuelo nombre de grandes compañías o celebridades. Los estafadores se valieron de la popularidad de Rihanna y de la probabilidad de que una buena parte de los que recibieron este engaño hayan escuchado, descargado o adquirido alguna de sus canciones’.

‘El mensaje se vale de la excusa quizá más utilizada por el phishing: ‘su cuenta ha sido suspendida’. Por supuesto que los datos de interés para los cibercriminales no serán solo el nombre y apellido: en este caso, también se solicitan la dirección e información bancaria. Disponer de la dirección postal de la víctima suele ser útil para los ciberdelincuentes, ya que es relevante a la hora de tratar de falsificar la identidad y hacer fraudes con tarjetas de crédito. De todos modos, los datos más valiosos para los ciberdelincuentes están vinculados al robo de tarjetas de crédito’, agrega.

Si bien el funcionamiento de la estafa tiene algunos elementos innovadores, se destaca la cantidad de errores que pueden ser identificados por el receptor de este correo, como usuarios genéricos, faltas ortográficas, URLs mal escritas y enlaces ocultos, entre otros. En caso de no advertir las señales del engaño y hacer click en el enlace incluido, el usuario es redirigido a un sitio web que simula ser oficial para verificar su AppleID: se trata de un sitio seguro ya que no utiliza el dominio de Apple, y que intentará robar el Apple ID y la contraseña ingresados.

Luego de ingresar los datos, el portal indicará que la cuenta ha sido verificada y redirigirá a la página de descarga oficial de iTunes. De este modo, el usuario seguirá creyendo que no hubo ningún engaño.

‘Debemos destacar que el phishing es un incidente multiplataforma que, en estas ocasiones tan genéricas, no distingue entre edades, países o plataformas al buscar víctimas. Principalmente, apunta a una vulnerabilidad humana que es la confianza y, a través de la Ingeniería Social, logra evadir distintas barreras para permanecer como una amenaza latente. Apostamos a la concientización como el primer paso para disfrutar de la tecnología de forma segura’, concluye Paus.

Salir de la versión móvil