ESET alerta sobre nuevas campañas de ingeniería socia que explotan técnicas conocidas para alcanzar cada vez más usuarios.
En primer lugar, la empresa destaca el Smishing, procedimiento que se presenta cuando una víctima recibe un mensaje de texto (SMS) que la induce a ingresar a un enlace malicioso. Los pretextos pueden ser, por ejemplo, una cuenta suspendida, el restablecimiento de una contraseña o un acceso indebido a una cuenta. El estafador se hace pasar por una entidad conocida, como un banco o una empresa: así como puede enviar un correo apócrifo que parece provenir de una dirección conocida, también puede falsificar el número telefónico que aparece como origen de los mensajes.
Un caso de Smishing se propagó recientemente entre usuarios de Latinoamérica, bajo el pretexto de desbloquear una cuenta del banco mexicano Banamex:
Lucas Paus, especialista en seguridad informática para Latinoamérica, explica: ‘Quienes ingresaran sus datos personales y/o su contraseña de home banking, las estaban enviando en realidad a los cibercriminales. Esto nos recuerda nuevamente la importancia de utilizar el doble factor de autenticación, una medida de seguridad útil que las entidades y servicios online ponen a disposición de sus usuarios, aunque muchos optan por no usarla’.
Otro caso señalado por la firma es el de Phishing redirect con archivos adjuntos, ataque que se comete con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima, donde el estafador se hace pasar por una persona o empresa de confianza, utilizando una aparente comunicación oficial como correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas.
Aquí, la estafa se propaga por correo electrónico, pero los teléfonos celulares intervienen como canal secundario. Se observó la técnica en un correo que simulaba ser una comunicación de PayPal.
‘Una vez más, evidenciamos la flexibilidad y cierta creatividad de los estafadores para generar campañas creíbles con el fin de atrapar usuarios desprevenidos. Leer y estar al tanto sobre estos engaños, así como contar con una solución de seguridad, ayudará a evitar caer en las trampas de los cibercriminales. A su vez, utilizar el teléfono móvil como un segundo factor de autentificación es una gran medida de seguridad’, concluye Paus.
Si se reciben mensajes extraños y existen dudas sobre su veracidad, la compañía recomienda tener especial cuidado con mensajes que dicen provenir de entidades financieras o promociones que incluyan un enlace web, una petición urgente o que induzcan a compartir ese enlace; prestar atención al comportamiento anómalo en el teléfono, volver el mismo al estado de fábrica o instalar un antivirus para prevenir futuras infecciones; y revisar las cuentas periódicamente, tanto de factura telefónica como de tarjeta, que pueden aumentar con suscripciones no deseadas o el robo credenciales mediante un software espía.