Hemos cubierto Sextorsión antes , se centra en cómo el núcleo de la amenaza es un ejercicio de confianza. El actor de la amenaza detrás de la campaña utilizará cualquier información disponible sobre el objetivo que les haga confiar en que el actor de la amenaza tiene información incriminatoria sobre ellos. (No lo hacen). Pero a medida que crece la conciencia pública sobre la estafa, los actores de la amenaza tienen que recurrir a lanzamientos menos esperados para mantener la misma respuesta de las víctimas. Echemos un vistazo a una variante reciente.
Como podemos ver, la técnica en cuestión parece estar salpicando el campo con tantos términos técnicos como sea posible para desgastar las defensas de la víctima y vender la mentira de que el actor de la amenaza realmente la hackeó. (NOTA: emplear una tormenta de vocabulario técnico lo más rápido posible es una técnica común para vender mentiras fuera de línea, así como también por correo electrónico). Si miramos más de cerca, la fachada comienza a desmoronarse con bastante rapidez.
- EternalBlue, RAT y troyanos son cosas diferentes
- Los sitios de pornografía no permiten cargas de usuarios anónimos o escanean y monitorean esas cargas en busca de contenido malicioso
- Los datos de las redes sociales a los que se hace referencia no se almacenan localmente y, por lo tanto, no se pueden ‘recolectar’ y, de todos modos, están ampliamente disponibles en la web abierta
- una RAT no puede realizar una acción específica en función de lo que está haciendo frente a una cámara activada. ¿Cómo lo sabría?
Algunos de estos puntos serían difíciles de comprender para un usuario promedio, pero los dos últimos sirven como señales de alerta bastante buenas de que el actor en el correo electrónico no es tan sofisticado como afirma. El problema es que al comenzar el lanzamiento con el resultado más alarmante posible, muchos usuarios entran en pánico y no se detienen a considerar pequeños detalles. Una clave para una buena defensa contra la sextortion es respirar profundamente, leer el correo electrónico cuidadosamente y preguntarse: ¿tienen sentido estas afirmaciones?
¿De dónde vino?
Los estafadores de Sextortion generalmente adoptan un enfoque de escopeta para apuntar, utilizando direcciones de correo electrónico comprometidas o desechables para enviar la mayor cantidad de mensajes posible. Algunas variantes intentarán hacer que el tono sea más efectivo al incluir contraseñas de usuario reales extraídas de antiguas infracciones de la base de datos. Sin embargo, lo importante es recordar que los estafadores no tienen ninguna información actual que divulgar, porque en realidad no piratearon a nadie. Este es un ataque de ingeniería social de bastante bajo esfuerzo que sigue siendo rentable precisamente porque el atacante no tiene que gastar recursos realmente pirateando a un usuario final.
Cómo NO obtener ayuda
La mayor parte de las amenazas cibernéticas existentes son, de hecho, síntomas de fallas en los sistemas humanos. Las respuestas adecuadas y responsables de infosec a estas fallas brindan a las personas herramientas para apuntalar esos sistemas, asegurando así que la amenaza cibernética no reclame un punto de partida. Sin embargo, las respuestas infosec menos prudentes hacen esto:
Una dirección IP es el equivalente en línea aproximado de un código postal. ¿Podría encontrar dónde vive alguien cuyo nombre no conoce basado únicamente en un código postal? ¿Realmente confiaría en una empresa que comete errores gramaticales en sus propios anuncios de Google?
¿Hay alguien en 2019 que realmente cree que es posible mantener algo fuera de Internet? Las afirmaciones extraordinarias requieren evidencia extraordinaria, pero desafortunadamente no proporcionan ninguna ya que su tecnología es «patentada».
Puede ser muy aterrador para un usuario recibir uno de estos intentos de ingeniería social, particularmente si el campo está cargado de una serie de términos técnicos que no entienden. Pero la lectura cercana del correo electrónico a veces puede revelar banderas rojas que indican que el actor de la amenaza no es exactamente el hacker más agudo que existe. Además, la defensa contra la sextortion es una de las defensas más baratas y fáciles contra las amenazas cibernéticas: no hacer nada. Mantente vigilante y a salvo.
Sobre el autor