Hay varias vías de ataque comunes y desafortunadamente exitosas que los ciberdelincuentes pueden utilizar para apartarlo de su contacto personal e información financiera. Estos métodos de ataque de phishing incluyen correo electrónico, llamadas telefónicas, software o aplicaciones corruptas, redes sociales, anuncios e incluso mensajes directos de texto (SMS).
Más allá del medio utilizado para comunicarse con usted (¡que a menudo es correo electrónico!), ¿Cuáles son algunos de los signos y comportamientos que debe buscar? No todas las amenazas son tan obvias como cabría esperar, y las conversaciones que se centran únicamente en la bandeja de entrada son completamente inadecuadas en el desgarrador paisaje en el que nos encontramos ahora.
1. Su software o aplicación en sí es phishing
Incluso los titulares más recientes indican que el software y las aplicaciones falsificadas siguen siendo peligros reales y presentes para los nómadas digitales. Tanto en Android como en iOS, los codificadores inescrupulosos periódicamente encuentran formas de eludir el proceso de aprobación y entregar una aplicación que parece proporcionar una funcionalidad común incluso cuando extrae información personal y la envía a partes desconocidas.
También hay otros medios de engaño. Las críticas falsas en las tiendas de aplicaciones siguen siendo asombrosamente comunes . Varios centenares o incluso un par de miles de críticas brillantes dan una impresión de legitimidad a nivel de la superficie, pero una mirada más cercana revelará el fraseo similar utilizado por múltiples usuarios o incluso nombres de usuario sospechosamente similares .
A veces, todo lo que se necesita es una bonita interfaz de usuario para enredar a los usuarios confiados de la tienda de aplicaciones. En algunos casos, los desarrolladores deshonestos incluso pueden mejorar la interfaz de usuario de la aplicación que intentan engañar, para obtener un impulso adicional de confiabilidad.
2. Has recibido un texto o llamada misteriosa
Gran parte del enfoque de la ingeniería social permanece en el correo electrónico, pero sería un error descontar el smishing (phishing de mensajes SMS) y vishing (phishing de voz). Los posibles alborotadores pueden falsificar fácilmente los códigos de área locales que usted podría reconocer, o incluso podrían hacerse pasar por representantes de soporte técnico para alentarlo a renunciar a las credenciales de sus dispositivos o cuentas.
Este es uno de los trucos más antiguos en los libros, y aún funciona. Afortunadamente, contar un despacho real de la compañía aparte de uno falso suele ser bastante fácil. Muchas compañías, como Microsoft y el IRS, tienen claro que nunca deben ponerse en contacto no solicitado con los clientes por teléfono . Si recibe una llamada de alguien que le ofrece ayuda que no solicitó y no necesita, cuelgue inmediatamente y bloquee el número en la configuración de su teléfono.
3. Has «ganado» algo
Las estafas de lotería y los omnipresentes anuncios emergentes «¡Has ganado algo glorioso!» Siguen siendo una forma popular de phishing para las cuentas bancarias y los números de ruta de las personas. Desafortunadamente, el hecho de que todavía existan y que sean tan comunes significa que todavía funcionan. Todos conocemos esa avalancha de adrenalina y emoción cuando recibimos algo cuando menos lo esperamos.
Una víctima puede recibir un mensaje en un sitio web fraudulento indicando que ganó un premio en efectivo o un sorteo de lotería en el que no ingresó , y que sus ganancias están disponibles para depósito directo. Si recibe un mensaje como este, elimínelo (sin leer) y bloquee la dirección de correo electrónico o el número de teléfono.
4. Tus cuentas de redes sociales están siendo armadas
Las redes sociales han dado lugar a formas particularmente desagradables de «spear phishing», es decir, a los perfiles públicos de las víctimas mineras para obtener información útil, y luego hacerse pasar por alguien que usted conoce, o que al menos podría confundir como legítimo. Recuerde examinar a sus amigos digitales con cuidado.
Otra forma en que las redes sociales podrían ser convertidas en armas es a través de la mecánica del juego, que incluye encuestas y cuestionarios. Es posible que te motiven a girar una rueda, interactuar con la pantalla o proporcionar comentarios sobre algo, luego de lo cual «ganarás» el juego y se te solicitará información adicional.
En cuanto a las encuestas, recuerda que si obviamente no eres un cliente, probablemente seas el producto. Puede que no te sorprenda saber esto, pero las encuestas falsas son tan comunes en Facebook que los usuarios suelen encender los tableros de mensajes oficiales del sitio social preguntando por cuestionarios individuales, incluso el raro y legítimo, donde los usuarios reciben una compensación por dar su opinión.
En su forma más tortuosa, trampas como estas alimentan los esfuerzos de ingeniería social como los realizados por Cambridge Analytica durante la campaña Brexit , así como por actores nacionales y extranjeros durante las elecciones presidenciales de 2016.
5. Tu URL no se ve bien
Independientemente de cómo entre en contacto con un esquema de phishing, existe una buena posibilidad de que parte de la acción que desean que realice implique visitar una URL específica. Saber cómo saber cuándo una URL no es genuina o no está afiliada a la persona o compañía que afirma contactarlo, es una habilidad crítica.
El primer paso lógico es ejecutar una búsqueda de Google o Bing para la empresa y ver los resultados principales. La URL que se le ha asignado debe coincidir con la que aparece en la parte superior de la página de resultados de búsqueda. Algunos navegadores incluso te ayudan con esto.
El Safari de Apple trunca la dirección en la barra de URL para solo el dominio principal y el subdominio, según corresponda. La idea es recortar los números, letras y otros materiales de relleno para avisarte de inmediato si estás en un lugar que no esperabas. Los phishers han hecho un arte de usar URL largas y complicadas para ocultar sus intenciones.
Otra cosa que puede hacer es mantener una libreta de direcciones con las URL oficiales, los números de contacto y las direcciones de correo electrónico de las empresas con las que hace negocios. También puede escribir algunas reglas o filtros para que su bandeja de entrada elimine automáticamente y descarte los mensajes entrantes según los símbolos de confianza que ya haya identificado, como direcciones de remitentes cuestionables.
6. Has sido advertido o dado un ultimátum
Este es otro tipo de estafa que es tan antigua como las colinas digitales, y una que se aprovecha del elemento humano del miedo, o la preocupación innata de perder una fecha límite importante.
A los estafadores les encanta incluir un lenguaje vagamente amenazante en sus phishing para ilícita una respuesta rápida e irracional de sus objetivos. Por ejemplo, una campaña de mensaje negativo puede incluir una secuencia de comandos que les dice a los usuarios que su información se ha visto comprometida, y que es mejor entregar el pago antes de que los estafadores filtren esa información (a veces escandalosa) al público. Un caso clásico de extorsión.
Sin embargo, es más probable que se comprometa al reaccionar demasiado rápido ante una amenaza falsa que cuando realmente haya sido excluido de su sistema, o cualquiera que sea el reclamo.
¿Te sientes preparado?
Vivir una vida digital ya no es opcional, no cuando toda nuestra vida profesional, social e incluso política se desarrolla en línea.
Incluso la navegación diaria puede parecer un campo minado, pero ojalá se sienta mejor preparado para manejar la amenaza por excelencia que está en el corazón de casi todos los ataques de malware de la actualidad: el phishing. Los estafadores saben cómo atraer a sus víctimas, incluso si están fuera del grupo de correo electrónico. ¡Así que proteja sus aplicaciones, sus redes sociales, sus dispositivos móviles y sus navegadores bien!
Sobre el autor