Etiqueta: phishing

Baiting: técnica de ingeniería social

Baiting: qué es y cómo protegerte

, , , ,

En un día normal puede que te encuentres una memoria USB en el suelo, la recojas y la abras en tu ordenador. Revisas las carpetas y… ¡oh, sorpresa! Tu información queda comprometida. A esto se le conoce como Baiting. ¿Quieres aprender cómo protegerte? Sigue leyendo.

El Baiting o cebo es una técnica de ingeniería social en la que los ciberdelincuentes infectan memorias USB y las colocan en lugares públicos como elevadores, parqueos, baños, etc., con el propósito de que una persona curiosa decida ver qué hay en su interior.

Así te puede afectar

Según la Oficina de Seguridad del Internauta (OSI), el objetivo de los cibercriminales es:

Baiting, cebo para el robo de información por medio de memorias usb infectadas.
Fuente Freepik

Robar datos e información sensible en forma de cuentas, contraseñas, emails, etc.

Conocer las características del sistema para llevar a cabo ataques más complejos.

● O, simplemente, extender su red de dispositivos infectados (botnets) a través de un medio físico, como son los dispositivos USB.

Aunque generalmente va dirigido a altos cargos como dueños de empresas y ejecutivos, cualquiera puede ser víctima.

Cabe destacar que si se ejecutan los archivos infectados de un pendrive en una computadora en red (por ejemplo, las de las oficinas del trabajo), las demás también contraerán virus.

De un dólar a RD$20,000.00: Descubre cómo David recuperó su dinero tras una ciberestafa

¿Cómo evitar el baiting?

Reducir el riesgo del baiting es sencillo si sigues las siguientes recomendaciones:

● La mejor medida de prevención es no conectar ningún dispositivo desconocido en tu equipo electrónico, pero si decides hacerlo procura…

● Tener un antivirus actualizado permitirá el análisis del pendrive. Introduce la memoria en la PC (se abrirá un cuadro de diálogo)- Da clic derecho sobre el dispositivo- Analizar.

Deshabilitar la función de autoarranque de unidades externas. Así podrás comprobar la seguridad de los archivos. Configuración- Dispositivo- Reproducción automática- Desactivar.

Si no posees antivirus y tu computador se infectó, lo mejor es que descargues uno para evitar mayores daños.

Ya conoces lo que es el Baiting y cómo evitarlo. Ahora puedes aprender sobre El Juego del Calamar de los ciberdelincuentes.

También te puede interesar:

5 lecciones de ciberseguridad de películas y series

Compartir
Business E-mail Compromise

El fraude del CEO o Business E-mail Compromise: táctica de phishing en auge

, , , , , ,

El fraude del CEO o el Business E-mail Compromise puede afectar a cualquier empresa sin importar su tamaño o su producto/servicio. En esta entrada te contamos en qué consiste y cómo protegerte.

¿Qué es el Business E-mail Compromise ?

El Business E-mail Compromise (BEC por sus siglas en inglés) o el Compromiso de Correo Electrónico es una modalidad sofisticada de phishing dirigida a negocios, especialmente a aquellos que:

  • Trabajan con proveedores extranjeros.
  • Realizan pagos por transferencia bancaria con regularidad.
  • Utilizan servicios de correo electrónico populares basados ​​en la nube.

Para los perpetradores del BEC no existe un usuario en específico, pero, una vez seleccionado el objetivo, se dan la tarea de investigarlo lo suficiente para que caiga en el anzuelo. 

Sigue leyendo: 5 hábitos ciberseguros: ¿los practicas?

Un zoom a su maniobra delictiva 

Conocer cómo operan los ciberdelincuentes para ejecutar el BEC te ayudará a evitarlo. A continuación el paso a paso.

  • Paso 1. El atacante suplanta tu identidad o la de uno de los ejecutivos.
  • Paso 2. Envía un email falso a un empleado del departamento de finanzas en el que solicita una transferencia bancaria inmediata a un proveedor de confianza para disminuir las sospechas. También puede pedir que se revele información comercial o financiera crítica.
  • Paso 3. En el caso de la transferencia, el empleado objetivo cree que el dinero se envía a la cuenta esperada, pero los datos se han modificado y el depósito cae en la cuenta del grupo delictivo.

La creación de correos o páginas web falsas, suplantación de identidad de los directivos y el uso de malwares son las tres tácticas que emplean los cibercriminales para llevar a cabo su estafa según el Buró Federal de Investigaciones (FBI, por su sigla en inglés) de los Estados Unidos.

Te puede interesar: 10 recomendaciones para detectar un email falso

¿Cómo puedes proteger tu negocio del BEC? 

Cuidar los datos y los fondos de tu compañía puede ser simple si sigues las siguientes sugerencias del FBI.

Eduque a sus empleados para que conozcan sobre el BEC y los ciberdelitos más comunes a fin de evitarlos.

– Establezca un protocolo en el que se comprueben los pagos y solicitudes de compras en persona o vía telefónica para verificar que sea auténtica. Cerciórese de que no existan cambios en el número de cuenta o proceso de pago con quien está haciendo la transacción.

Dude de quienes le presionen por hacer procesos rápidamente, y más cuando hay dinero de por medio.

– Tenga precaución con la información que comparte en internet. Es muy probable que sin querer le entregue a los piratas informáticos toda la información que necesitan para adivinar su contraseña o responder sus preguntas de seguridad.

Active pasos de doble autenticación en todas las cuentas que se lo permitan y nunca las desactive.

Evite hacer clic en solicitudes de “actualización” o “verificación de cuenta” que no haya pedido. Extra: confirme la veracidad de la solicitud llamando por teléfono al emisor del email (no uses el que coloque el estafador en el correo).

Verifique que la dirección de correo es la de siempre. Los estafadores cambian un poco las direcciones de correo electrónico para engañar tus ojos y ganar tu confianza. Con igual cautela, chequee la URL y la redacción del texto que le enviaron. 

Atención con lo que descargue. Nunca abra archivos enviados por un desconocido y sea cauteloso con documentos que le reenvíen. 

Como ya cuentas con la información, prevenir el fraude del CEO en tu establecimiento comercial es posible. ¡Pon en práctica estas recomendaciones y navega seguro!

Compartir

Qué es phishing o suplantación de identidad

¿Sabes cuál es la técnica de engaño más usada por los ciberdelincuentes? Es el phishing, una técnica de ingeniería social que consiste en enviar un correo electrónico falso a un usuario simulando ser una entidad legítima (red social, banco, institución pública) o un servicio con mucha reputación, para robarle su información privada, hacerle un cargo o gasto económico e incluso infectar el dispositivo.

¿Pero cómo lo hacen?

A través de un correo falso, los ciberdelincuentes envían archivos que al descargarse infectan el dispositivo con malware. También usan enlaces dentro del email y cuando se hace clic en ellos, los envía a una página que, aunque pueda parecer legítima, es un fraude.

Los datos que son proporcionados a través de estos enlaces terminan en manos de los ciberdelincuentes.

Es decir: Imagina que recibes un correo electrónico supuestamente de una página en la que te has suscrito para realizar alguna compra pidiéndote actualizar tus datos en las últimas 24 horas, porque de lo contrario tu cuenta será bloqueada.

Te puede interesar:

10 recomendaciones para detectar un email falso

Ves el enlace y le das clic, que te redirecciona a un sitio web falso que luce igual al de esa página, tiene los mismos colores, imágenes, nombre y estructura. Entonces introduces tus datos personales y ya, los delincuentes tienen tus datos. Con los que podrán realizar compras o defraudar a otra persona.

Si es urgente, es phishing

Como ya hemos explicado, la urgencia en la solicitud de la información que se pide a través de un correo de phishing es una de las características principales de este fraude.

Tal como lo explica un artículo publicado por Diario Libre acerca de los casos de phishing en República Dominicana, los correos fraudulentos muestran líneas de “asunto” como:

«La entrega del mensaje ha fallado: devolver el mensaje al remitente»

«Querido cliente del banco»

«Comunicación importante»

«Mensaje no entregado devuelto al remitente»

Además, podrá solicitarte la confirmación “rápida” de datos personales; la comunicación insistirá en que debes actualizar tu información confidencial para seguir disfrutando del servicio, te alertará de la suspensión inminente de la suscripción o te presentará ofertas irresistibles por un tiempo “limitado”.

Es por esto que, así como anotas tus contraseñas seguras, ten a mano la ecuación perfecta para detectar el phishing: solicitud de datos de tus cuentas + datos personales = fraude.

Compartir

Conoce 7 formas de engaño de los ciberdelincuentes

, , , ,

¿Cómo logran los ciberdelincuentes ganar nuestra confianza, hasta el punto que damos nuestros datos confidenciales sin saber que se trata de un fraude? Aquí te contamos algunas de las formas de engaño de los ciberdelincuentes.

La ingeniería social es conocida como el acto de manipulación que utilizan los ciberdelincuentes para ganar la confianza a sus víctimas para que hagan algo bajo su manipulación o engaño. Por ejemplo: ejecutar un programa malicioso, facilitar claves privadas o comprar en tiendas online fraudulentas.

Te puede interesar

CiberGlosario: términos que deberías saber

Kevin Mitnick, uno de los hackers estadounidense más famosos de la historia, asegura que hay cuatro principios básicos que hacen que una persona caiga víctima de cualquiera ataque de ingeniería social:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir No.
  4. A todos nos gusta que nos alaben.

Y ¿cómo lo hacen? Lo primero es conociendo el comportamiento del usuario de alguna red social, página web o servicio online. También hacen pruebas introduciendo contraseñas evidentes o típicas y otras veces haciendo una pregunta simple: ¿qué contraseña introduciría yo si fuese la víctima?

Aquí 7 formas de engaño que usan los ciberdelincuentes:
Pretexting

Esta técnica de ingeniería social se trata de crear una situación o pretexto para intentar que la posible víctima facilite información personal que en situaciones normales no compartía. Por ejemplo, enviar correos electrónicos donde ofrecen grandes sumas de dinero a cambio de datos bancarios.

Sextorsión

Es el chantaje donde amenazan a la víctima con divulgar supuestas imágenes o videos de carácter sexual exigiendo una cantidad de dinero o realizar una acción para no hacerlo. Esta estafa apela al miedo y desconocimiento de la víctima.

La sextorsión es el chantaje de divulgar supuestas imágenes o videos de carácter sexual. Foto: Freepick

Phishing

Una forma de engaño muy conocida, el phishing es cuando un ciberdelincuente suplanta la identidad de una empresa o servicio legítimo a través de correos y vínculos a páginas fraudulentas, para que la víctima haga clic en un enlace o archivo adjunto y así tomar el control de sus dispositivos y obtener información personal.

Vishing

Es un tipo de phishing realizado a través de llamadas telefónicas en las que el delincuente se hace pasar por una persona o empresa de confianza para que la víctima de información confidencial. Por ejemplo: supuestas encuestas por teléfono en las que solicitan datos privados sin que la persona sospeche que es un fraude.

Se precavido si recibes llamadas telefónicas en que te solicitan datos confidenciales. Fuente: Freepik

Quid pro quo

Es la estafa en la que se ofrece “algo a cambio de” en forma de regalo (premio, dinero, accesos “gratuitos” a programas) mientras se obtiene información personal de la víctima. Por ejemplo: El atacante llama a una empresa diciendo que es de soporte técnico indicando que hay un problema legítimo y se ofrecerá a ayudar. Durante el proceso conseguirá los datos de acceso y lanzará un malware.

Spamming de contactos

El engaño en el que los hackers envían mensajes de spam a todos los contactos de sus víctimas. Quien recibe el corre con un asunto informal (por ejemplo, ¡mira esto!) posiblemente lo abrirá y hará clic al enlace de texto, e inmediatamente se enviará una copia exacta del email a todos sus contactos, continuando así la cadena de spam, con el objetivo de infectar o acceder al dispositivo de las víctimas.

Aviso de email en una computadora
Recibir un mail sospechoso puede ser parte de una estafa por spamming de contactos. Fuente: Freepick

Shoulder surfing

Es la técnica de ingeniería social que consiste en conseguir información confidencial cuando el delincuente utiliza posiciones cercanas a su víctima (autobús, filas para pagar…) mirando por encima de su hombro (literalmente).

Ahora que ya sabes las formas de engaño de los ciberdelincuentes recuerda que la mejor defensa es educarnos y crear hábitos ciberseguros.

 

 

 

 

 

 

Compartir
Protégete de los ciberdelitos
Recibe informaciones, recursos gratis y consejos para navegar seguro.
Protégete de los ciberdelitos
Recibe informaciones, recursos gratis y consejos para navegar seguro.
Ir al contenido