¿Cómo evitar las estafas de phishing durante esta temporada de Black Friday?

¿Cómo evitar las estafas de phishing durante esta temporada de Black Friday?

Por Javier Rincón, Director Regional de Avast Latam.

Se acerca la temporada de vacaciones. Teniendo en cuenta la inflación y los elevados costes de la energía, es probable que muchas personas estén buscando ofertas para ahorrar dinero, algo que los ciberdelincuentes conocen bien y explotarán. Dada la vulnerabilidad de muchos, la probabilidad de abrir accidentalmente un correo electrónico de phishing y hacer clic en un enlace puede ser mayor de lo habitual.

Abrir un correo electrónico de phishing

El simple hecho de abrir un correo electrónico proporciona a los ciberdelincuentes información valiosa. Cuando alguien abre un correo electrónico de phishing, hace saber al remitente que existe y que es susceptible de recibir correos electrónicos de phishing. Además, abrir un correo electrónico puede permitir a los atacantes saber qué navegador se está utilizando y si es vulnerable. Los atacantes pueden utilizar este conocimiento para futuros ataques. El siguiente correo electrónico que envíen podría ser más peligroso, preparado para una víctima específica y su navegador potencialmente vulnerable.

Hacer clic en un enlace de un correo electrónico de phishing

El sector de la ciberseguridad advierte continuamente a la gente de que nunca haga clic en enlaces sospechosos de correos electrónicos, pero ¿qué ocurre si alguien lo hace por error? Abrir un enlace de phishing, rellenar información personal en un formulario y enviar esa información la envía directamente a los ciberdelincuentes, pero ¿qué ocurre si una persona se da cuenta antes de pulsar el botón de enviar?

En casos extremos, los sitios web pueden contener una carga útil «drive-by», un programa malicioso que se descarga por sí mismo sin requerir ninguna acción por parte de la víctima. Las cargas útiles drive-by aprovechan las vulnerabilidades de otros programas, como los sistemas operativos o los navegadores, para infectar los ordenadores con malware. Avast descubrió recientemente una vulnerabilidad de día cero en Google Chrome utilizada para propagar una carga útil «drive-by» para espiar a un conjunto específico de víctimas.

Los sitios web de phishing, y los sitios web normales, también pueden incluir anuncios maliciosos. Incluso si alguien no realiza ninguna acción en un sitio de phishing en el que ha hecho clic desde un correo electrónico de phishing, podría ser atraído por un anuncio malicioso en el sitio. En esta temporada de vacaciones, esperamos ver anuncios maliciosos disfrazados de los principales minoristas, o que anuncian ofertas falsas que son demasiado buenas para ser verdad. Si se hace clic en estos anuncios, podría descargarse malware.

Los enlaces incluidos en los correos electrónicos de phishing pueden no llevar a sitios de phishing. En su lugar, podrían conducir a sitios de confianza, pero luego redirigir a los visitantes del sitio a un sitio web vulnerable para luego realizar un ataque drive-by.

Correos electrónicos de suplantación de identidad y estafas comunes durante la temporada navideña

Es probable que los ciberdelincuentes se aprovechen de la gente en estas fiestas enviando y publicando ofertas falsas, afirmando que venden regalos caros a precios extremadamente bajos. Por otra parte, podrían llegar a las bandejas de entrada de la gente correos electrónicos diseñados para parecer sitios conocidos y de confianza.

Otros correos electrónicos de phishing comunes dicen incluir una factura o describen un problema de facturación, y podrían ser más eficaces durante la temporada previa a las vacaciones, cuando la gente hace más compras de lo habitual y, por tanto, espera más envíos. Estos correos electrónicos pueden llevar a páginas de aterrizaje falsas, en las que se pide a los usuarios que introduzcan su información financiera, por ejemplo.

Los ciberdelincuentes también pueden enviar más alertas bancarias falsas. Muchos bancos alertan a los clientes si detectan alguna actividad sospechosa o la cuenta está a punto de quedar en descubierto. Los phishers utilizan estos servicios de ayuda para intentar convencer a la gente de que «confirme» la información de su cuenta bancaria.

Cómo son los correos electrónicos de phishing y de qué deben cuidarse los usuarios:

Saludo débil: Muchos tipos de phishing, incluido el estándar «phishing engañoso», tienen una red amplia. Por ello, el correo electrónico no estará personalizado con el nombre del destinatario, sino que le saludará con algo vago, como «Estimado cliente», o incluso con su nombre de usuario. La correspondencia oficial de las empresas legítimas se dirigirá a los clientes por su nombre. Sin embargo, los ciberdelincuentes pueden analizar las direcciones de correo electrónico para averiguar el nombre y los apellidos de las víctimas, si se incluyen en la dirección de correo electrónico.

Ofertas que no se pueden rechazar: Si una oferta o trato parece demasiado bueno para ser verdad, probablemente sea porque lo es.

Se requiere una acción inmediata: A los phishers les gusta la urgencia. Esta táctica puede tener más éxito durante los grandes eventos de compras como el Black Friday, ya que se esperan ofertas por tiempo limitado.

Enlaces acortados o mal escritos: Los enlaces maliciosos suelen esconderse detrás de servicios de acortamiento de enlaces. Los ciberdelincuentes también alojan versiones falsas de sitios legítimos con URLs casi idénticas, y animan a la gente a hacer clic en estos enlaces en sus correos electrónicos de phishing. Los atacantes también intentan engañar a la gente con el typosquatting, utilizando una versión ligeramente incorrecta de la URL legítima, o con errores ortográficos deliberados que utilizan letras y caracteres de aspecto similar.

Mala redacción: Un banco no va a enviar un correo electrónico con errores tipográficos y gramaticales. Un phisher, en cambio, puede y suele hacerlo. Errores descuidados como estos son señales de un correo electrónico de phishing.

Adjuntos: No hay nada malo en los archivos adjuntos en general, si la gente los espera y provienen de una fuente de confianza. Los estafadores pueden incluso ocultar el malware en archivos con mucho contenido, como los PDF. En muchos casos, los atacantes utilizan archivos adjuntos con extensiones dobles como .doc.exe.

Información personal solicitada: Los phishers buscan datos. Por ello, envían correos electrónicos en los que piden a los usuarios que confirmen la información de su cuenta, sus credenciales de acceso u otra información personal.

Aparentar ser de una empresa o servicio que no utiliza el destinatario: Los phishers no suelen tener acceso a las bases de datos de usuarios de las empresas que suplantan, por lo que envían sus correos electrónicos de phishing a cualquiera que puedan encontrar. La gente debería desconfiar especialmente de los correos electrónicos de servicios que no utilizan, en los que se reclaman problemas de cuenta o de facturación, por ejemplo.

Otras medidas de protección

Utilice una solución de seguridad digital: Los programas de seguridad, como Avast One, protegerán incluso a los más precavidos de los correos electrónicos y enlaces de suplantación de identidad y del malware.

Mantenga todo actualizado: Actualizar el software, incluidos los navegadores, y los sistemas operativos es extremadamente importante. Los atacantes, por ejemplo, utilizan agujeros de seguridad en los sitios web para inyectar código malicioso que busca vulnerabilidades en los navegadores o dispositivos para realizar ataques drive-by. No aplicar los últimos parches de seguridad abre la puerta a los atacantes para obtener potencialmente un acceso completo a un ordenador, sin que sea necesaria ninguna acción del usuario.