Scam, Hoax, Phishing, Pharming, Ransomware e Ingenieria Social

Contenidos

– Qué es el scam
– Hoax
– Phishing
– Pharming
– Ransomware y Scareware
– Funcionamiento del scam
– Objetivos del scam
– Cómo evitar un ataque de phishing scam
– Ingeniería social
– El peligro de la suplantación de la identidad
– Tipos de timos
– Recursos afectados
– Cómo protegerse

Tags: ransomware, scareware, virus, gusano, troyano, espia, spyware, rootkit, scam, hoax, phishing , pharming, ingenieria social, botnet, Spear Phishing, Vishing, Smishing, Spoofing

Relacionados: Ransomware, Rootkit, Phishing, Spear Phishing, Vishing, Smishing y Spoofing, Spyware, Virus, Gusanos y Troyanos , Robo de identidad y Phishing , Botnets: Redes Zombies

QUÉ ES EL SCAM

Se podrían dar diversas definiciones.

•  Scam («estafa, chanchullo» en inglés) es un término anglosajón que se emplea familiarmente para referirse a una red de corrupción. Hoy también se usa para definir los intentos de estafa a través de un correo electrónico fraudulento (o páginas web fraudulentas).
Generalmente, se pretende estafar económicamente por medio del engaño presentando una supuesta donación a recibir o un premio de lotería al que se accede previo envío de dinero.

•  Especie de híbrido entre el phishing y las pirámides de valor. La técnica inicial a través de la cual se inicia o reproduce, y que se considera igualmente estafa o delito, es la llamada “hoax”. Pero existen varios delitos informáticos que se pueden encuadrar como Scam: HOAX, PHISHING, PHARMING
Las cadenas de mail engañosas pueden ser scams si hay pérdida monetaria y hoax cuando sólo hay engaño.
Scam no solo se refiere a estafas por correo electrónico, también se le llama scam a sitios web que tienen como intención ofrecer un producto o servicio que en realidad es falso, por tanto una estafa.

•  Captación de personas por medio de correos electrónicos, chats, irc, etc… donde empresas ficticias le ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias).

•  Engaños, mezcla de SPAM (correo basura) y HOAXES (bromas o falsas alertas) que circulan por la red, generalmente con la intención de cometer algún tipo de fraude.

•  Especie de híbrido entre el phishing y las pirámides de valor.

Es útil conocer de qué se trata, para no caer en el futuro en una trampa similar.

HOAX

Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico.
Su común denominador, es pedirle los distribuya “a la mayor cantidad posible de conocidos”.
Jamás reenvíe un mensaje de este tipo que llegue a su casilla.

Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos erróneos, pero lo que es peor activan un tipo de “contaminación” muy diferente, propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y aún en el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirtúa totalmente su verdadero objetivo.

WhatsApp de pago, cierre de Facebook y otros bulos en red.

Si la compra de WhatsApp por parte de Facebook – a mediados de febrero de 2.014- ya disparó todo tipo de especulaciones, la caída este sábado de la aplicación de mensajería durante cerca de cuatro horas desencadenó un auténtico festival del bulo.

“Hola, soy Mark Zuckerber (sic), director de Facebook y ahora también de WhatsApp, este mensaje es para informar a nuestros usuarios que sólo nos quedan 530 cuentas disponibles para nuevos teléfonos, y que nuestros servidores han estado recientemente muy congestionados, por lo que estamos pidiendo su ayuda para solucionar este problema. Necesitamos que nuestros usuarios activos reenvíen este mensaje […] Si usted no envía este mensaje a todos sus contactos de WhatsApp, su cuenta permanecerá inactiva con la consecuencia de perder todos sus contactos”.

Este es uno de los numerosos mensajes falsos que están circulando entre los usuarios de WhatsApp. La supuesta advertencia enviada por Mark Zuckerberg circula en diferentes versiones, en las que cambia el nombre del supuesto “director” de WhatsApp (Germán Menafre, Fredy Sánchez…) y los colores de los iconos que lo acompañan. De hecho, el bulo no es nuevo, ya había circulado anteriormente, pero cada cierto tiempo vuelve.

En él, además de instar a los usuarios a reenviar la advertencia, informa de que, de no hacerlo, “los mensajes por Whatsapp empezarán a tener un coste de 0.37 centavos”.

Pues bien, lejos de valorar lo insólito del contenido del mensaje, lejos de sospechar de que la compañía use un mensaje en cadena para tal información, o del simple hecho de que aparezcan términos como “centavos” o “pesos”, miles de usuarios de WhatsApp en España le dieron al botón de reenviar. “Por si acaso”.

Es cierto que WhatsApp no se ha caracterizado precisamente por la transparencia, o más bien definición, de su política (si es de pago o no, por ejemplo), y que sus agujeros de seguridad han sido denunciados en más de una ocasión. Pero a veces sólo hace falta un mínimo ejercicio de cuestionamiento para darse cuenta de que el mensaje es a todas luces falso.


Uno de los bulos que circulan sobre Facebook. En este caso el bulo es claro dado que no existen los días 29, 30 y 31 de febrero.

La popularización de WhatsApp (paralela a la proliferación de los smartphones) ha convertido esta aplicación en caldo de cultivo de bulos y leyendas urbanas, como antes sucedió con el correo electrónico.

Advertencias de medicamentos con efectos perniciosos (los cuales, según el mensaje,la prensa oculta no se sabe bien por qué).

Avisos de virus informáticos “muy peligrosos”. Alimentos adulterados que están en el supermercado (de los que la prensa y Sanidad tampoco informarían por “oscuros intereses”).

Cadenas de mensajes que, de no continuarlas, te dejan sin correo electrónico o sin servicio de mensajería instantánea.

Cadenas que, para tener “buena suerte”, te invitan a compartir que el presente año es especial porque el mes de octubre tiene cinco lunes, cinco martes y cinco miércoles, algo que, según el mensaje, solo sucede cada 800 años, pese a que una simple operación matemática lo desmonte…

Los conocidos como ‘hoax’, bulos que se convierten en virales al ser compartidos por infinidad de usuarios de Internet, y que tienen varias características que los hacen fácilmente identificables:

– proceden de una fuente anónima

– se insta a compartirlo con el mayor número posible de contactos por la “importancia” del mensaje, o porque así se garantiza buena suerte o dinero

– muchos hablan de amenazas para la salud, conspiraciones urdidas por la industria farmacéutica, alimentaria, ‘lobbies’…

El pasado octubre, alguien se inventaba que el Metro de Madrid había sufrido amenazas de bomba en varias líneas, lo escribía en un mensaje y lo reenviaba a sus contactos con una petición de hacerlo circular. Dicho y hecho: horas después prácticamente todo Madrid estaba sobre alerta… de una falsa alerta.

Según un estudio de la Asociación de Internautas, el 64% de las personas que recibe el bulo ni siquiera lo lee; sin embargo, sí lo hace un 34%. De ellos, sólo un 11% lo reenvía a sus contactos. Suficiente, a la vista de lo sucedido, para que una mentira se convierta en viral.

Otro ejemplo de Hoax:

“Salvad a Willy:

Willy sigue vivo, la última fotografía que se le hizo data de una semana. Los veterinarios y especialistas en animales en extinción han confirmado que, o se actúa rápido o Willy morirá. Si Usted desea ver a Willy volviendo a surcar los mares del mundo, no dude en aportar su imprescindible ayuda, bien con mensajes de apoyo, bien mediante su aportación económica al número de cuenta que se adjunta.

Pásalo a todos sus amigos.”

En definitiva, se tratan de bulos e historias inventadas, que no son más que eso, mentiras solapadas en narraciones cuyo fin último es destapar el interés del lector o destinatario. Dichas comunicaciones pueden tener como finalidad última: Conseguir dinero -como en el ejemplo expuesto- o propagar un virus.

Últimamente, este tipo de comunicaciones se están recibiendo en teléfonos móviles, en los que los destinatarios de SMS pueden recibir un mensaje en el que se les comunica que deben confirmar a un número determinado una supuesta actuación -entrega de algo- o que han copiado el SIM de su tarjeta y para desactivarla han de enviar un SMS.

Si lo recuerdan, este timo o estafa informática fue divulgado en televisión, hace más o menos dos o tres meses, cuando un grupo de personas, todas ellas de origen africano, remitían comunicaciones haciendo creer a los estafados que les había tocado la lotería.

Pirámides De Valor

“Consiga aumentar su beneficio en poco tiempo”. Si ustedes se dan una vuelta por cualquier foro, podrán visualizar múltiples temas muy parecidos al enunciado. El objetivo de tan suculento mensaje es captar a usuarios, con la única finalidad de que lean el cuerpo del mensaje y se crean que pueden conseguir grandes comisiones por no hacer nada.

Una vez que han engatusado a sus próximas víctimas suelen remitirles, bien un correo electrónico, bien un enlace para que accedan a una determinad Página Web. A su vez, le solicitan sus datos de carácter personal y un número de cuenta en la que los estafadores pasarán a realizar los ingresos de las futuras comisiones.

Lo único que deben hacer es pagar una determinada cantidad de dinero e incluirse en la cadena ya nacida. Posteriormente, deben remitir miles y miles de correos electrónicos a usuarios para que éstos repitan el procedimiento. En teoría según vas escalando en la cadena, vas aumentando el porcentaje de la comisión, pero nunca más lejos de la realidad.

PHISHING

(Ver documento ampliado sobre Phishing)

Se pronuncia igual que “fishing”, pesca. Las entidades bancarias y organismos no saben cómo parar este tipo de estafa, aunque estén cansados de advertir a sus clientes que hagan caso omiso a este tipo de comunicaciones electrónicas. La similitud entre este tipo de comunicaciones y la de una comunicación de una entidad bancaria es casi exacta o completamente idéntica.

¿Cuál es el objetivo? Recabar el login y password de la cuenta bancaria del destinatario de este tipo de mensajes. Así mismo, existen más casos de phishing que no tienen porque ir asociados a bancos, como es el caso de comunicaciones en soporte papel de organismos públicos. Un caso ilustrativo son las comunicaciones remitidas en nombre de la Agencia Española de Protección de Datos, en la que supuestamente se informaba a los destinatarios que podrían ser objeto de una sanción por incumplimiento de la normativa y, al cabo de un período de tiempo, varias personas se acercaban a la sede social de la empresa a estafar para ofrecer servicios de adecuación en materia de protección de datos.

Aunque dispongan de un artículo exclusivo en la presente Página Web sobre este tipo de estafa -“¿Qué es el phishing? Aspectos a tener en cuenta”-, le recordamos que nunca las entidades bancarias solicitan datos de cuentas y personales a través de correos electrónicos. Así mismo, en caso de creer que están siendo objeto de la presente estafa, no dude en ponerse en contacto con la empresa en cuyo nombre remiten la posible estafa, y si se trata de comunicaciones de organismos públicos asegúrense de que se adjunta un número de expediente que haga referencia la cuerpo del mensaje.

(Más sobre Phishing)

PHARMING

Es una técnica para llevar a cabo estafas online, aunque en muchos medios comentan que no es necesario usar ingeniería social esta definición no es totalmente cierta ya que es necesario que nuestra maquina o la remota “sea manipulada”.

El pharming consiste en manipular las direcciones DNS que utiliza el usuario, con el objetivo de engañarle y conseguir que las paginas que visite el usuario no sean realmente originales aunque su aspecto sea idéntico.

Resumiendo desvía el tráfico de Internet de un sitio Web hacia otro sitio de apariencia similar, con la finalidad de engañar a los usuarios para obtener sus nombres y contraseñas de acceso, que se registrarán en la base de datos del un sitio falso que fue creando antes y donde simula a la web que suplantan.

* Hay gusanos y troyanos que realizan esta función.
* La víctima se entera cuando existe un movimiento extraño de dinero en sus cuentas.

Ransomware y Scareware (criptovirus)
(Ver documento ampliado sobre Ransomware y Criptografía y encriptación fraudulenta)

Los virus informáticos se han vuelto inteligentes. Ya no borran archivos ni tampoco se burlan de los usuarios, sino que intentan sacar el máximo provecho económico de la infección en curso: extorsionan dinero y roban datos personales. A este tipo de virus se le conoce por el nombre de ransomware. Es una palabra en inglés que combina las palabras, también en inglés, ransom (rescate) y malware. Se usa para referirse no sólo a un tipo de virus computacional, sino a la extorsión que conlleva después de que se instala en una de tus computadoras.

En muchas ocasiones se intercambia el uso del término ransomware con scareware, que a su vez es una combinación de las palabras en inglés scare (amedrentar) y malware. La diferencia principal con el ransomware es que el scareware se basa más en una amenaza que en una acción concreta.

También llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un “rescate” para poder recibir la contraseña que permite recuperar los archivos.

Cada día se estafan 33.000 dólares a través de ransomware. Es un tipo de código malicioso que impide el acceso al ordenador que infecta hasta que se realiza un pago, goza de mucha popularidad entre los ciberdelincuentes.

Es una técnica basada en la extorsión, el chantaje y las peticiones de rescate aplicada tanto a ordenadores como a dispositivos móviles. Se trata de un software malicioso (malware) con el que los ciberdelincuentes cifran los datos del disco duro del ordenador de la víctima y bloquean el acceso al sistema para posteriormente pedir dinero a esta última diciendo que sólo así recuperará sus datos. Algo, por otra parte, que es mentira ya que se trata de un timo, de modo que aunque pague nunca volverá a tener sus datos.

¿Cómo se instala el ransomware en el equipo?

Suele producirse mediante una vulnerabilidad en el equipo, después de que el usuario haya abierto un correo electrónico de phishing o haya visitado una web maliciosa creada por el hacker.

Diferencias regionales en los timos

Aunque este tipo de malware es cada vez más popular en todo el mundo, los mensajes y timos difieren según el punto del planeta. Por ejemplo, en los países donde la piratería es habitual los programas de ransomware que bloquean el acceso al sistema suelen asegurar que han identificado un software ilegal en el equipo y exigen un pago por él.

No obstante, parece que en Europa o Norteamérica esta técnica no tiene tanto éxito. En su lugar aparecen pop-ups procedentes de las “autoridades policiales” que afirman haber encontrado material pornográfico en el ordenador del usuario u otro tipo de contenido ilegal. Normalmente, siempre van acompañados de una multa.

Una de las soluciones para evitar que nuestro ordenador se infecte con un programa de ransomware lo mejor es tener instalada una solución de seguridad informática que identifique las vulnerabilidades y utilice un sistema de detección de exploits de alto nivel, aunque como casi siempre lo que recomendamos es sentido común, muchas veces el menos común de los sentidos.

Los cibercrimales están haciendo de su actividad todo un arte. Ya no se trata de notoriedad, ni siquiera de ponerse a buscar vulnerabilidades que dejen nuestros secretos al alcance del mejor postor. Y es que extorsionar por Internet se ha convertido en una actividad muy rentable; de hecho, un estudio de Symantec cifra en 33.000 dólares diarios lo que el mercado negro factura a través de los ransomware. Casi un millón de dólares al mes.

El estudio de Symantec, Ransomware: A Growing Menace, revela que el avance que se ha realizado en los métodos de ataque y la falta de conciencia por parte de las víctimas del fraude han hecho que el ransomware se haya convertido en una táctica muy rentable para los cibercriminales.

Los detalles del estudio se basan en una investigación sobre 16 variantes conocidas de ransomware que han estado funcionando en los últimos dos años. Symantec ha detectado y monitorizado una variante de gran éxito, el troyano Ransomlock, que entre septiembre y octubre había enviado a los servidores de comando y control, encargados de poner en marcha la estafa, 68.000 direcciones IP únicas. Lo que quiere decir que Ransomlock intentó estafar a casi 70.000 personas, ¿cuántas pagarían para recuperar el control?

Symantec asegura haber visco 5.700 direcciones IP conectadas al servidor en un día. Según el estudio, de las 5.700 conexiones los estafadores convencieron a 168 usuarios para que pagaran, ganando 33.000 dólares. Y lo que es peor es que los investigadores de Symantec dicen que sus estimaciones son conservadoras y que probablemente se está ganando mucho más.

¿Cómo funciona el scareware?

El scareware, más que un tipo específico de malware, es una táctica para motivar a los consumidores a comprar programas antivirus que son cien por ciento un placebo. Los individuos y compañías que hacen scareware emplean tácticas antiéticas de mercadotecnia; el ejemplo más común es el de páginas en Internet con anuncios que dicen algo así como “tu computadora está infectada” y te mandan a una página donde compras un programa (conocido como antivirus falso o en inglés rogue software) que en el mejor de los casos no hace nada, y en el peor de los casos te instala un malware, que con seguridad te convertirá en víctima dephising o de robo de identidad.

FUNCIONAMIENTO DEL SCAM

El proceso es muy sencillo. Usted recibe un mensaje de su proveedor de servicios, (se puede aplicar a cualquier tipo de servicio que usted esté acostumbrado a pagar con tarjeta de crédito por ejemplo), donde se le indica que existe un error en el registro de sus datos, y que para poderle facturarle correctamente, y evitar ser dado de baja, debe actualizarlos a la brevedad.

Por supuesto, por razones de seguridad, no se le pide que envíe ninguna información por correo, pero si se le incita a que se dirija a la página del proveedor de servicios, donde se recogen estos datos, y que siga desde allí el resto de las instrucciones.

En el mensaje se muestra un link aparentemente legal a una página de facturación del propio proveedor del servicio.

Si usted pulsa en el link, en su navegador se abre esta página, exactamente igual a las páginas oficiales de dicho proveedor.

Allí, se le dan más detalles del presunto problema con sus datos; se le pide cortésmente disculpas por las molestias causadas; se promete que la información que el cliente estará ingresando será encriptada y solo usada por la entidad; y luego se le advierte en una forma muy destacada que la dirección actual de su computadora ha sido registrada y guardada en un archivo de registro (log) para protegerlo a usted de cualquier tipo de fraude.

Después de ese proceso, que prepara el terreno para hacerle creer al usuario que todo es correcto y legal, se le pide ingresar datos como el número de tarjeta de crédito, seguro social, libreta de conducir, y otra información bancaria. Incluso se piden cosas como el apellido de soltera de su madre.

Cuando termina de ingresar los datos, estos son enviados, pero no al proveedor verdadero, ya que las páginas son falsas. El resto es fácil intuirlo.

Resumiendo: Consta de tres partes o escalafones -piramidal-. Es configurada bajo la apariencia de una cadena de valor que, sube o baja, en función de la necesidad del presunto estafador.

•  Etapa Primera:
Conseguir a los intermediarios mediante chats, foros y correos electrónicos. Los escalafones, la red de estafadores se nutre de usuarios de chats, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (HOAX) -no son más que bulos o mentiras cuyo único fin es atraer a los intermediarios-. En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria.

•  Etapa Segunda:
Los intermediarios intentan conseguir el mayor número de estafados, a través de la técnica del PHISHING. Una vez recabados por la red de intermediarios, se pasa al segundo de los escalafones, mediante la cual se remiten millones de correos electrónicos, bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (PHISHING).

•  Etapa Tercera:
Traspasos en forma piramidal de las sumas de dinero. Los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios, quienes posteriormente deben dar traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquellos -intermediarios- el porcentaje de la comisión. Para no hacerlo tan complicado, veamos un ejemplo ilustrativo.

Ejemplo real:

“Recibí en mi correo electrónico una oferta de trabajo que después de preguntarles varias veces si era fiable, me convencieron y acepté el trabajo que consistía en que ellos me mandaban una cantidad de dinero a mi cuenta del BBVA, en este caso me mandaron 1950 euros y luego siguiendo sus instrucciones yo tendría que sacar y reenviar a donde ellos me dijeran por medio de MoneyGram (incluso me llamaron por teléfono para decirme que ya tenía el dinero y lo que tenía que hacer) y quedándome yo con el 5% del dinero, (en este caso mandé el dinero a Letonia a un señor llamado Artun Safin), hasta ahí todo correcto pero al cabo de dos días me llamó la directora de mi banco diciéndome que la estaban reclamando del Banco de Valencia una cantidad de 1950 euros de un señor llamado Francisco de Alicante y que no sabían cómo había salido de su cuenta y había ido a parar a la mía, a partir de ahí ya me di cuenta de que todo era una estafa, pero ya era tarde, llamé inmediatamente a MoneyGram para retener el dinero pero el tal Artur Safin ya lo había cobrado, fui al BBVA a hablar con la directora y me aconsejó que lo denunciara, cosa que hice, pero por la noche me llamó a mi casa Francisco pidiéndome el dinero y yo le dije que era tarde que ya no lo tenía, que yo sólo tenía mi correspondiente 5%. Al cabo de unos días recibí una carta certificada del Banco de Valencia diciendo que enviara el dinero a un número de cuenta que me ponían y en caso de no hacerlo me lo reclamarían por vía judicial”.

OBJETIVOS DEL SCAM

La información que los intrusos intentan obtener comúnmente a través de un ataque de phishing scam o scam, sin más, es: el nombre de usuario (conocido como login) utilizado por ejemplo para acceder a su correo electrónico, la contraseña relacionada con su cuenta de correo electrónico, números de su tarjeta de crédito, claves de acceso a su banca electrónica, números de seguro social, y cualquier otra información que les permita tener acceso a servicios privados del usuario con el propósito de obtener un beneficio propio, como por ejemplo, realizar un fraude a través de banca electrónica.

Este tipo de fraude se ha extendido mucho en estos días. Es muy fácil crear una página y hospedarla en cualquier sitio gratuito de Internet. Con un poco de ingenio, se pueden lograr nombres que ayuden a perfeccionar el engaño, así como evitar banners u otro tipo de publicidad agregados por muchos de estos sitios, que pudieran hacer sospechar a un usuario más entrenado.

Y una vez obtenida la información, se puede hacer un uso ilegal de ella, mucho antes que la víctima sospeche.

Estos sitios varían y de acuerdo a las versiones detectadas hasta el momento, son cientos de páginas las que han sido registradas como falsas.

El cambio constante de éstas, hace muy difícil rastrear a los culpables, aún para los cuerpos de seguridad del estado. Algunas de sus investigaciones, los han llevado a detectar que alguno de estos delincuentes, ha estado actuando desde alguna isla del caribe, Europa del Este o China.

Otra cosa preocupante, es que este tipo de fraude, podría convertirse en algo mucho más ambicioso en el futuro, al mismo tiempo que más peligroso para los intereses de millones de internautas de todo el mundo.

Por ejemplo, hoy día, muchos manejamos desde nuestra computadora, nuestra cuenta bancaria. Aunque los bancos tienen toda la tecnología y la capacidad para que esta acción sea segura, un engaño como el descrito, o un poco más sofisticado, podría llegar a poner en peligro nuestros valores. Simplemente no hay que menospreciar el ingenio de quienes se aprovechan de este tipo de fraude.

Si la mayoría de los usuarios es tan ingenuo como para abrir adjuntos no solicitados, o reenviar cadenas de personas que nunca sintió hablar, revelando su propia dirección, bien podría caer en una trampa tan simple por la forma de crear, y por las facilidades que el propio Internet brinda para llevarla a cabo con éxito.

Por ello, es muy importante que tomemos conciencia de que esto puede llegar a ocurrirnos en algún momento, para no caer en este tipo de trampas.

Y si alguna vez recibe un mensaje del estilo de lo hasta ahora mencionado, no se deje llevar por la facilidad “del doble clic”. Contáctese personalmente o en forma telefónica con quien le solicita los datos, pero no acuda con los ojos cerrados a una página, donde dejará información que es muy probable que en la vida real no se la brinde ni a sus propios parientes.

Cómo evitar un ataque de phishing scam

A continuación se mencionan algunas acciones que se pueden llevar a cabo para poder prevenir un ataque de phishing scam:


•  Si recibe un correo electrónico o una ventana de mensaje emergente solicitándole información personal o financiera, no responda, ni tampoco haga clic en el enlace o vínculo del mensaje.

•  No envíe información sensible a través de Internet. Antes verifique si el sitio Web es seguro.

•  Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la empresa que supuestamente le ha enviado el mensaje.

•  Ponga atención en el URL del sitio Web que visita. Los sitios Web maliciosos pueden parecer idénticos a los sitios legítimos, pero el URL puede tener variaciones o un nombre de dominio diferente.

•  Asegúrese que el sitio Web utiliza cifrado.

•  Instale y actualice su software antivirus, firewalls y filtros de correo electrónico.

•  Actualice su sistema operativo con todas las actualizaciones de seguridad que se publican periódicamente.

•  Instale una barra antiphishing en su navegador, conocidas también como scam blocker. Estas herramientas están disponibles para los principales navegadores de Internet.

•  Medidas Legales: Denunciando ante los cuerpos de seguridad del estado o a la Agencia Española de Protección de Datos.

•  Medidas Formales: Informándose en las diferentes Páginas Web temáticas sobre estos delitos, e exponiendo a las empresas o entidades a las que usurpan su marca para la remisión de correos electrónicos el “presunto fraude”.

INGENIERÍA SOCIAL

(Ver documento ampliado sobre Ingeniería Social)

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema “los usuarios son el eslabón débil”. En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas “cadenas”, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de “crear una cuenta”, “reactivar una configuración”, u otra operación benigna; a este tipo de ataques se los llama phishing. Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas.

Un ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos “íntimas” de alguna persona famosa o algún programa “gratis” (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

Relacionado con la Ingeniería Social está el PHARMING, anteriormente comentado.

FRAUDE / INGENIERÍA SOCIAL

No todo lo que leemos en Internet tiene por qué ser cierto. Además, los defraudadores aprovechan nuestra credulidad para su provecho, por lo que conviene usar el sentido común y contrastar la información.

En quién y qué confiar

Del mismo modo que en la vida real cuando leemos una revista, vemos la televisión o hablamos directamente con una persona tenemos en cuenta una serie de factores que nos ayudan a poner en valor la información obtenida, en Internet debemos actuar de idéntica manera.

Que esté publicado en Internet no quiere decir que sea veraz

Tener una reputación contrastada a lo largo del tiempo, haber confiado en ella en anteriores ocasiones o transmitir la información de forma clara y concisa son aspectos que te ayudaran a valorar una fuente como confiable. Otra opción siempre aconsejable es contrastar la información en una fuente alternativa.

No asegurarte de en quien confiar puede suponer que tomes como ciertos contenidos falsos o faltos de rigor. Pero tienes que tener en cuenta que losciberdelincuentes también aprovechan nuestra credulidad para embaucarnos a realizar determinadas acciones en su beneficio, lo que se conoce como ingeniería social.

El engaño puede llevarnos desde aceptar sin miramientos la ejecución de un fichero que contiene un virus, hasta suministrarles por nosotros mismos las claves del banco.

Asegurarse que realmente es quien dice ser

Además de saber en quien confiar también debes asegurarte que el interlocutor es quien dice ser. Sobre todo en los servicios de banca y comercio en los que tu dinero está en juego.

No te confíes, antes de realizar cualquier operación a través de una web verifica la legitimidad de la página. Y del mismo modo, antes de responder a un remitente de correo electrónico desconocido, asegúrate que no se trata de un mensaje fraudulento.

El peligro de la suplantación de la identidad

La mayoría de fraudes actualmente pasan por suplantar la identidad en línea de un tercero. Para ello los estafadores se apoyan en la ingeniería social, con la que conseguir las credenciales de acceso -o como paso previo la suficiente información privada- de los servicios de banca, comercio, etc.

No se lo pongas fácil a los estafadores. Si conoces los elementos que se utilizan para el fraude en internet podrás reconocer más fácilmente los principales tipos de fraude que te puedes encontrar y no caer en su trampa.

* Falsas páginas web

Las páginas web falsas pueden ser utilizadas para:

– Ofrecer servicios inexistentes por los que te pedirán que realices un pago tras el que nunca recibirás el servicio o producto que pretendías comprar. El ejemplo más habitual son las tiendas de comercio electrónico que no sirven los productos o sencillamente desaparecen después de que el cliente ha realizado el pago correspondiente.

– Suplantación de páginas oficiales que imitan el contenido de ciertas páginas web que pueden ser de entidades bancarias, comercios o administraciones públicas, con el objetivo de robar la información que intercambias habitualmente con dicha entidad.

El timador intenta que visites una página web falsa a través de diferentes medios de comunicación.

El caso más común, se conoce como phishing y consiste en utilizar un correo electrónico que, aunque a primera vista puede parecer que lo remite una entidad legítima, contiene un enlace a una página falsa en la que, si introducimos nuestros datos, éstos pasarán directamente a manos del estafador.

Casos de phishing que se han utilizado en Internet:

-Correos electrónicos que suplantan a la Policía Nacional
-Correos electrónicos que suplantan a la Agencia Tributaria
-Suplantación del servicio Hotmail/MSN
-Mensajes fraudulentos con enlaces a páginas que suplantan a Twitter
-Ataque de phishing a través de Facebook

Cada vez más, se están detectando casos de fraude con el mismo objetivo, pero que redirigen a una página web falsa a través de otros medios, como pueden ser los mensajes cortos de texto (SMS) y las llamadas telefónicas o incluso códigos maliciosos que redirigen a páginas falsas.

La mejor manera de evitar este tipo de fraude consiste en aprenden a reconocer mensajes fraudulentos y conocer las recomendaciones para realizar trámites en línea.

* Tipos de timos

En el buzón de nuestro correo electrónico podemos recibir mensajes no deseados de publicidad (spam), correos que pretenden que descarguemos virus o que intentan cometer alguna estafa. Sin embargo, existen más tipos de correos que intentan engañarnos.

Otros métodos para intentar defraudar al usuario de Internet utilizando diferentes medios electrónicos para contactar con él y conseguir engañarle bajo diferentes argumentos.

Scam Africano o Nigeriano

Las cartas nigerianas son correos electrónicos que ofrecen una gran suma de dinero, previo pago de un anticipo que el timador justifica bajo la necesidad de liberar una fortuna en alguna divisa extranjera o país en conflicto, y ofrece una pequeña parte de la misma una vez haya sido liberada.

Un supuesto miembro del gobierno, o un jefe de un banco o petrolera, pide al incauto en cuestión que le facilite los datos de su cuenta bancaria para poder ingresar en ella una cantidad de dinero que quiere sacar del país, ofreciéndole a cambio una recompensa económica. Si éste accede, después de unos cuantos contactos por teléfono, correo electrónico o fax, se le pide alguna cantidad económica para un “gasto inesperado” o un soborno. Después de esto, a la víctima ni le devuelven ésta cantidad ni se le da lo que le habían prometido.

En este tipo de correos, se notifica a la víctima que mediante una herencia (de alguien de quien nunca ha oído hablar), o algún otro motivo similar, ha resultado ganadora de una gran cantidad de dinero. Sin embargo, para poder acceder a él, debe abonar una cantidad «simbólica» en materia de tasas, impuestos… mucho menor que el premio a recibir, ¡vaya chollo!

El resultado, que el delincuente se queda con esa cantidad abonada, y la víctima no recibe ningún dinero.

Scam del Tío de América

Unos supuestos albaceas de un millonario y desconocido familiar informan al receptor de su fallecimiento y le comunican que lo incluyó en su testamento. El timo consiste en pedir al incauto que desembolse una cantidad de dinero para hacer frente a algún gasto inevitable. Los autores de éstos Scam se ayudan de técnicas de Ingeniería Social para hacer coincidir el apellido del supuesto difunto y el del destinatario.

Timo de la Lotería

En éstos Scam, se informa al receptor de que ha sido premiado en la lotería española, aunque no haya participado. Posteriormente se le pide al destinatario un desembolso para hacer frente a algún gasto causado por algún trámite importante.

La víctima recibe un correo en el que se le informa de que ha ganado un premio de lotería (¡a la que nunca ha jugado!) Tan sólo debe proporcionar una serie de datos para acceder al dinero, ¡vaya suerte!

Al final el premio no existe y la información personal que se ha proporcionado se podrá usar para fines fraudulentos.

Mulero

Otros correos ofrecen empleos que consisten en recibir una cantidad de dinero en su cuenta bancaria y realizar una transferencia a otra cuenta, quedándose con una parte de la cantidad transferida a modo de comisión.

En este caso la víctima se convierte en cómplice de un delito de fraude, ¡ya que está contribuyendo en operaciones de blanqueo de dinero!

Soluciones: Todos tienen en común que aparentemente ofrecen gangas, la posibilidad de recibir mucho dinero fácil y rápidamente. También suelen tener las siguientes características que hacen que sean fácilmente reconocibles: generalmente están mal redactados, y las direcciones de correo de las que provienen suelen tener un formato extraño. Puedes ver más información sobre las estafas en nuestra sección de otros timos de internet.

Lo esencial es tener siempre sentido común, no existen los chollos y menos viniendo de desconocidos. Las principales recomendaciones para usar el correo electrónico de forma segura son:

•  No pulses los enlaces ni descargues nada proveniente de correos electrónicos de desconocidos.
•  No proporciones tus datos si no te aseguran una fuente de confianza, y ¡mucho menos si son tus datos bancarios!
•  Elimina directamente aquellos correos de los que desconfíes.
•  También puedes ayudarnos a evitar que otros usuarios sean engañados, reenviándonos todos los correos sospechosos a alguna de las entidades acreditadas en la lucha contra los delitos telemáticos (como el Inteco, ahora denominado Incibe, Asociación de Internautas o los Cuerpos de Seguridad del Estado)

La estafa piramidal llega normalmente a través de un correo electrónico que ofrece un trabajo basado en la promoción de productos y en la captación de nuevos empleados en tu círculo familiar o personal. Al contactar con la presunta empresa, te comunicarán que los nuevos miembros deben abonar una tasa de iniciación. Una vez incluidos en la organización, se descubre que los beneficios obtenidos no vienen tanto por la venta o promoción de los productos sino por la captación de nuevos miembros.

Se conocen como mulas a aquellos usuarios que aceptan una supuesta oferta de trabajo que reciben a través de correo electrónico y que consiste en realizar transferencias a través de su cuenta recibiendo a cambio un porcentaje de las cantidades transferidas. Este caso no sólo se corresponde con un fraude, sino que además la persona se convierte en colaborador de un delito de blanqueo de dinero.

Ejemplo de falsa oferta de trabajo

Aprovechándose de la mala situación económica que están sufriendo muchos usuarios, los delincuentes están enviando falsas ofertas de trabajo a través del correo electrónico. En estas supuestas ofertas de empleo, se ofrece al usuario la posibilidad de ganar mucho dinero de forma muy sencilla y sin emplear apenas tiempo.

Aquel usuario que caiga en la trampa, y participe en la actividad que se le propone en el correo, estaría participando como mulero dentro de la estructura de los fraudes, y estaría incurriendo en un delito de blanqueo de dinero.

Recursos afectados

Afecta al usuario que reciba un correo electrónico con una falsa oferta de trabajo y participe en la actividad que se le propone en el mismo.

Solución: Si recibe una oferta falsa de empleo, proceda de la siguiente forma:

•  No conteste en ningún caso al correo.
•  No participe en la actividad que se le propone en el correo, es un delito.
•  Envíe el correo electrónico al buzón .
•  Ante cualquier duda, puede solicitar ayuda a través de servicios de «soporte por chat» o «atención telefónica» contrastados.

Ejemplo de mensaje utilizado como gancho:

¡Un trabajo bien retribuido!
Te ofrecemos una posibilidad de ganar dinero fácilmente. Puedes simultanear este trabajo con él que tienes ya. Solo hay que encontrar 2-3 horas libres al día 1 – 2 veces a la semana.
Te explicamos cómo funciona:
1. Realizamos el ingreso de 3000 EUR en tu cuenta.
2. Una vez llegado retiras el dinero.
3. Ya has ganado 20 % del ingreso – te queda 600 EUR!
4. Luego nos entregas el resto 2400 EUR.
Los montos transferidos y su frecuencia pueden ser diferentes, todo depende únicamente de tus preferencias y posibilidades! La actividad está absolutamente legal y no viola ninguna ley de UE o de España.
Si te interesa la propuesta y quieres probar, mándanos un mail a la dirección: [correo electrónico]. Te contactaremos lo más pronto posible para contestar tus preguntas.
¡Ten prisa! La cantidad de vacancias está limitada!

Algunos elementos comunes a este tipo de estafa son:

  • La empresa suele estar en el extranjero y no tienen oficinas locales.
  • El español utilizado en sus comunicaciones es deficiente.
  • Usan cuentas de correo gratuitas.
  • Los correos que envían están basados en modelos y apenas están personalizados.
  • En algún momento solicitan un envío de dinero, con cualquier excusa.
  • Se ofrece trabajo a distancia, es decir, teletrabajo.
  • La oferta llega al correo sin que haya habido ningún proceso de selección previo.
  • Los correos emplean la ingeniería social, ofreciendo las características deseables de un buen puesto de trabajo.
  • Siempre le piden que tenga o abra una cuenta bancaria.
  • Su trabajo consiste en recibir transferencias bancarias a su cuenta bancaria, sacar este dinero posteriormente para enviarlo a países extranjeros por medio de empresas tipo Western Union, Money Gram.
  • Nos mandan un contrato (falso) para hacer más creíble la oferta.

Frases para captar a víctimas:

  • ¿Está usted en paro y tiene ganas de trabajar?
  • ¿Quiere obtener un dinero extra?
  • ¿Quiere trabajar cómodamente desde casa?
  • ¿Quiere tener beneficios de forma rápida?.

Una vez obtenidos los datos de la víctima y no colabora la victima será amenazada.

Los bulos en Internet son mensajes electrónicos que contienen la típica leyenda urbana o noticia falsa y que se suelen utilizar para sensibilizar al usuario con el fin de que realice aportaciones económicas.

Todos estos timos son fácilmente evitados utilizando el sentido común. No debes confiar en correos electrónicos u otros mensajes electrónicos que se reciban solicitando aportaciones de dinero o información personal. También conviene desconfiar de cualquier oferta que proporcione acceso fácil a cantidades importantes de dinero.

* Elementos utilizados en el fraude en internet

Los estafadores que podemos encontrarnos en Internet se aprovechan de los servicios y la facilidad de comunicación que proporciona la red para construir el engaño y conseguir su beneficio. Aunque, dependiendo del tipo de fraude se utilizan diferentes elementos, te resumimos cuáles son sus principales herramientas:

•  La ingeniería social es la herramienta más utilizada para llevar a cabo toda clase de estafas, fraudes y timos sobre los usuarios más confiados a través del engaño. Estas técnicas consisten en utilizar un reclamo para atraer tu atención y conseguir que actúes en la forma deseada, por ejemplo convenciéndote de la necesidad de que reenvíes un correo a tu lista de direcciones, que abras un archivo que acabas de recibir y que contiene un código malicioso, o que, como ocurre en el phishing, utilices un enlace que ellos te proporcionan para visitar tu banco e introducir tus códigos y claves.

Para captar tu atención, utilizan referencias a temas de actualidad, nombres de personajes famosos, denuncias de injusticias o catástrofes humanitarias o fechas significativas como la Navidad. Además, los timadores presionan o incluso amenazan al usuario que no siga sus indicaciones.

•  El correo masivo y no deseado, conocido como spam, proporciona el mejor y más barato mecanismo de difusión de cualquier información y, por lo tanto, de cualquier intento de fraude. Los estafadores aprovechan la posibilidad de enviar gratis millones de correos con una misma estafa para aumentar la probabilidad de que alguien caiga en su trampa.

•  Los virus y códigos maliciosos en general, también pueden ser diseñados para capturar información personal, como por ejemplo, los datos que intercambias con una determinada entidad o las pulsaciones de tu teclado cuando accedes a una determinada página web.

Cómo protegerse

Para no verse afectado por estas amenazas, las personas deben evitar acceder a información cuya fuente no sea confiable. Una buena práctica es la eliminación de todo tipo de correo no solicitado para así evitar el scam.

Además, es importante no utilizar dinero en el pago de servicios o productos de los cuales no se posean referencias ni se pueda realizar el seguimiento de la transacción. El comercio electrónico y vía SMS son potenciales factores de riesgo, por lo que las transacciones por estos medios deben ser apropiadamente validadas antes de llevarse a cabo.

En los ataques llevados a cabo mediante ingeniería social, el eslabón débil al que se apunta es a las personas y su ingenuidad. Mantenerse informado sobre las nuevas metodologías y educarse en seguridad informática es la vía ideal para evitar ser víctimas de ellos.

_________

Más contenidos en nuestra web: www.gitsinformatica.com/contenidos.html

Conozca todo sobre Ciberseguridad Informática GITS Visítanos en Youtube Ciberseguridad y Ciberdelitos. El Español en el mundo. Visítanos en Facebook Visítanos en Google+ Visítanos en Twitter Visítanos en LinkedIn Argentina Ciberseguridad GITS Brasil Ciberseguridad GITS Colombia Ciberseguridad GITS Costa Rica Ciberseguridad GITS Ecuador Ciberseguridad GITS Rep. Dominicana Ciberseguridad GITS México Ciberseguridad GITS Paraguay Ciberseguridad GITS Puerto Rico Ciberseguridad GITS Uruguay Ciberseguridad GITS Venezuela Ciberseguridad GITS Perú Ciberseguridad GITS

Anuncios

Acerca de Ciberseguridad GITS Informática

Asesoría para Padres y Adolescentes, Educadores, Empresarios y Trabajadores, Administraciones Públicas y Privadas, Asesoría, Seminarios, Docencia y Divulgación en materia de Ciberseguridad, Delitos Informáticos y Privacidad del Internauta.
Esta entrada fue publicada en Ciberdelincuentes, Ciberestafas y etiquetada , , , , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s