Ah, concursos en línea. Muchos de nosotros sabemos que, en realidad, pueden ser un tanto tontos y sin sentido, pero eso no nos impide hacer clic en el botón «Iniciar prueba». Además, tienes tiempo para matar y solo hay tres preguntas para responder, ¿verdad?

El tipo correcto de mal

Los ataques de phishing no siempre comienzan en las bandejas de entrada de su correo electrónico. Ya sea que esté en una computadora de escritorio, computadora portátil, tableta o teléfono inteligente , existen varios otros vectores donde los usuarios pueden encontrar intentos de phishing. Y créanme, no tienen un letrero luminoso de neón que podría alertar fácilmente a los usuarios de que están buscando información personal.

Los phishers han sido uno de los cibercriminales más resistentes que existen hasta la fecha. Y Katz, investigador principal de seguridad de Akamai Technologies, ha demostrado este punto una vez más.

Katz ha confirmado lo que muchos de nosotros ya hemos sospechado: los cuestionarios breves que se han compartido en Facebook, Twitter y otras redes sociales, en un informe publicado recientemente titulado “Una nueva era en Phishing: juegos, redes sociales y premios” [PDF]. Las plataformas son estafas. Y detrás de ellos hay esfuerzos sofisticados y coordinados que fueron diseñados para la exposición prolongada de los usuarios a las campañas de fraude.

Katz y su equipo han estudiado 689 campañas de phishing personalizadas que se basan en 78 nombres populares de marcas en todas las industrias. Estas marcas incluyen United Airlines, Target, Disneyland y Dunkin ‘Donuts. Todas las páginas de phishing basadas en cuestionarios siguen un formato de plantilla: hacen tres preguntas y, una vez que el usuario las responde (tenga en cuenta que no tienen que ser correctas), les prometen un premio asociado con la marca que se están haciendo pasar por alto. Por ejemplo, si el cuestionario es sobre Disneyland, los participantes podrían «ganar» pases gratuitos.

Luego, los participantes en las preguntas se dirigen a una página web que solicita información personal, por lo que pueden reclamar el premio, por supuesto, como su dirección de correo electrónico, dirección física y edad.

El kit de herramientas detrás de estas campañas de phishing “positivas”

Los kits de suplantación de identidad (phishing) son un elemento básico para el arsenal de fraude de phishing grave. Estas herramientas ingeniosas y reutilizables son populares en el mercado subterráneo porque realizan la mayor parte del trabajo con poco esfuerzo de los estafadores. También hace que la creación de campañas de phishing sea mucho más rápida.

De acuerdo con esta publicación del blog que acompaña al documento de Akamai, los kits de phish basados ​​en cuestionarios que estudiaron utilizan las siguientes tácticas de ingeniería social para ganarse la confianza del usuario:

  • Un sitio web personalizado de «marca», en el que muestran logotipos y marcas de compañías de confianza que utilizan para atraer objetivos y hacer que se sientan cómodos para responder las preguntas del cuestionario.
  • Un llamado a la acción, en el que crean un sentido de urgencia, por lo que el objetivo probablemente complete el cuestionario o dé información sin pensarlo. Un ejemplo de esto es afirmar que el premio de alto valor solo puede ser ganado por un número limitado de participantes, por lo que necesitan avanzar.
  • Múltiples respaldos falsos en las redes sociales, en los que se utilizan perfiles de redes sociales falsos para fortalecer la legitimidad de la oferta de la supuesta marca. Al mostrar al objetivo que varias personas ya han ganado y reclamado el premio, el objetivo dudaría menos. También se requiere que el objetivo comparta el enlace al cuestionario en los canales de redes sociales, una estafa de encuestaclásica .

Capturas de pantalla de sitios de muestra que utilizan el mismo kit de phish para la estafa del cuestionario de tres preguntas (Cortesía de Akamai Technologies)

Otros hallazgos de la campaña de phishing

  • Las marcas abusadas por los phishers en su campaña son compañías que pertenecen a las aerolíneas, al por menor y las industrias de alimentos y bebidas.
  • El 82 por ciento de los dominios reales utilizados en estas campañas de phishing han aprovechado los errores de typosquatting .
  • Las versiones más recientes del kit de phishing incluyen funciones adicionales, como la traducción automática, que hace que la estafa sea accesible para personas que no hablan inglés, y nuevos perfiles de redes sociales falsos, lo que hace que la estafa sea más confiable y dinámica.
  • Las campañas de phishing que utilizan las redes sociales son más efectivas en comparación con el phishing tradicional.

Una nueva campaña de phishing a tener en cuenta.

Akamai ha predicho que las campañas de phishing de esta naturaleza, o aquellas que tienen un aspecto positivo en lugar de uno negativo, como en el phishing tradicional, solo aumentarán en el futuro. En lugar de usar tácticas de miedo, los phishers ahora han aprendido a explotar la mecánica del juego y aprovechar la curiosidad y el deseo de regalos de las personas. En el proceso, los phishers han hecho que los usuarios de Internet sean receptivos a ellos, sin que los usuarios se den cuenta.

Se recomienda a los usuarios que sean más vigilantes y críticos cuando se trata de ofertas de regalos en línea, independientemente de la forma en que se presenten, hasta que hayan verificado que las ofertas son legítimas. Si bien puede ser divertido perder el tiempo en las pruebas que un contacto ha compartido en Facebook, sería prudente darle un pase, y tal vez advertir al pobre compañero a través de PM que podría haber sido engañado para que entregue su información personal a estafadores