Como complemento a las medidas de seguridad que publicamos relativas en la protección de los ataques de phishing y ransomware, queremos informaros de los ataques, cada día más frecuentes, relativos a intentos de fraude y estafa.
Estos ataques usan diferentes medios, además del correo electrónico, como por ejemplo WhatsApp, SMS o llamadas telefónicas, y usan técnicas de ingeniería social (premios inesperados, ofrecidas máxime atractivas, transmitir una sensación de urgencia) para intentar engañaros y así acceder a vuestros datos personales, datos bancarios, o, directamente, estafaros.
Otras características comunes que presentan estos tipos de estafas son:
- Con respecto a mensajes SMS, los atacantes pueden usar mecanismos para hacer que sus mensajes parezcan provenir de origens legítimos (el que se conoce como spoofing), como por ejemplo organismos oficiales o entidades bancarias. Esto es máxime peligroso, porque estos mensajes se agruparán junto con mensajes legítimos.
- Pueden usar el protocolo http, que no es seguro .
- Los enlaces apuntarán hacia dominios que no conocéis, o bien serán enlaces acortados, como https://scur.cat/dfedca.
- Os informarán que habéis conseguido algo muy positivo (un premio, una oferta laboral,...) o que ha ocurrido un acontecimiento que requiere de vuestra atención urgente (se bloqueará vuestra cuenta bancaria, habéis efectuado una transacción que no reconocéis ...).
- Pueden estar redactados en idiomas que no utilizáis habitualmente.
A continuación, os exponemos algunos ejemplos de mensajes fraudulentos, destacando las características que os tendria que hacer sospechar:
- Mensajes de proveedores de logística y transporte.
Este tipo de mensajes simulan que tenéis a vuestra disposición un paquete que no esperáis, pero que, por el motivo que sea, no os lo pueden entregar. Habitualmente incluirán un enlace hacia dominios desconocidos , y que no pertenecen a empresas de transporte, donde intentarán que navegáis.
- Mensajes de bancos y entidades financieras.
Estos mensajes habitualmente hacen uso de la técnica de informaros de acontecimientos que requieren de vuestra atención urgente, como bloqueo de cuentas, que vuestras cuentas son inseguras o bien que se han producido movimientos que no habéis realizado vosotros. Es máxime preocupante que se pueden agrupar junto con mensajes que son legítimos, como mensajes de segundo factor de autenticación, por ejemplo. Los dominios de los enlaces que incluyen intentarán asemejarse en los dominios reales de las entidades bancarias, pero una busca rápida a Internet os permitirá detectar que no son los correctos.
- Mensajes que ofrecen un trabajo.
Estos mensajes provienen , en general, de origens desconocidos , y pueden estar redactados en idiomas que no utilizáis habitualmente. Algunos de ellos empiezan por un mensaje de prueba, y si lo respondéis, entonces ya empezaréis a recibir mensajes con intentos de estafa.
- Mensajes que informan sobre premios que habríais ganado.
Cómo en casos anteriores, estos mensajes usan la técnica de informaros que habéis conseguido un premio muy atractivo que no esperabais, y que tenéis que actuar con urgencia si lo queréis conseguir.
1. Manteneos alerta. Si recibís mensajes no esperados o llamadas no solicitadas, o bien os llegan en un idioma que no utilizáis habitualmente o con faltas ortográficas obvias, ignoradlos y no los respondéis. No proporcionáis nunca información personal (ni tampoco secretos bancarios u otros datos sensibles), ni efectuáis ninguna acción que os pidan sin verificar previamente la autenticidad del origen de la comunicación (por ejemplo, contactando con la entidad presuntamente emisora).
2. Activad la autenticación de doble factor (2FA). Siempre que los servicios que utilizáis lo permitan, habilitáis la autenticación en dos pasas, ya sea empleando el correo electrónico, mensajes de SMS o bien servicios de autenticación como por ejemplo Google Authenticator.
3. No sigáis ningún enlace. Como norma general, no tenéis que seguir nunca ningún enlace que os propongan a un mensaje sin antes verificar que este mensaje sea legítimo. En último extremo, si habéis seguido el enlace, verificáis la identidad del propietario del sitio web, haciendo clic a la cerradura de la barra de navegación y comprobando que el dominio del enlace es el correcto (los navegadores lo suelen destacar del resto de la dirección). Por otro lado, desconfiáis de los enlaces acortados, y nunca seguís enlaces que usen el protocolo http, que no es seguro .
Sustituciones de letras por otros letras, números o símbolos gráficamente similares |
calb.es / ca1b.es |
Usar el nom legítim com a component d'un nom no legítim | caib.prova.es |
Usar nombres similares al nombre de dominio legítimo | caib-es.es |
En caso de duda, se puede hacer una busca a Internet para determinar cuál es el dominio normal de la organización y así validar si el dominio del enlace es legítimo.
Recordad que el factor humano es el peldaño más débil de la cadena de la ciberseguridad . Vuestra colaboración es vital para luchar contra la ciberdelincuencia ! |