UNIVERSIDAD
Beginner
Cómo reconocer los intentos de phishing – Con ejemplos reales

Cómo reconocer los intentos de phishing – Con ejemplos reales

El phishing está en la caja de herramientas de todo estafador. He aquí ejemplos reales de intentos de phishing que le ayudarán a detectar mejor la amenaza.

Ataque de phishing Opt

Introducción

Un reciente informe de Interpol muestra que el phishing está aumentando en todo el mundo. A continuación, mostramos ejemplos de cómo los estafadores intentan estafar a los usuarios de criptomonedas y cómo protegerse.

Principales conclusiones:

  • El phishing es una técnica de “ingeniería social” utilizada por piratas informáticos y estafadores para engañar a usuarios desprevenidos y conseguir que faciliten sus credenciales o información confidencial.
  • El phishing puede adoptar varias formas, como el phishing por correo electrónico, el phishing por SMS y el phishing por llamada de voz.
  • El phishing puede reconocerse por varios signos reveladores, como inexactitudes, sensación de urgencia, falta de elementos de seguridad, así como solicitudes de información personal.
  • Protegerse del phishing requiere una buena dosis de escepticismo y una inspección cuidadosa de todos los mensajes, correos electrónicos y enlaces.

¿Qué es el phishing?

El phishing es una de las vías de ataque que utilizan los estafadores para atacar a usuarios desprevenidos con el fin de robarles información confidencial, como los datos de identificación personal (IPI), que incluyen la fecha de nacimiento, la dirección, las combinaciones de nombre de usuario y contraseña de correo electrónico, la información bancaria en línea y las cuentas corporativas y, en última instancia, sus fondos.

El phishing es una forma de “ingeniería social” que se basa más en engañar a un usuario involuntario para que entregue voluntariamente sus credenciales y/o fondos que en intentar violar sus dispositivos o cuentas mediante técnicas de pirateo.

En un ataque típico de phishing, se suele hacer creer al usuario que ha sido contactado por una organización con la que trata habitualmente (por ejemplo, su banco, su empresa o su proveedor de telecomunicaciones) a través de sofisticadas réplicas del sitio web de la organización, notificaciones por SMS, correos electrónicos o llamadas telefónicas. Estos ataques pueden llevar al usuario a proporcionar información sensible, como credenciales, contraseñas o frases de recuperación.

Los ataques de phishing pueden coordinarse, por ejemplo, contra el personal o los miembros de una organización concreta, o contra los usuarios de un determinado servicio. Por lo general, los atacantes adquieren información de los clientes tras un incidente de filtración de datos, que luego utilizan para atacar a esos mismos clientes con un ataque de phishing. En otros casos, los ataques pueden ser aleatorios y basarse en la selección de bloques de números de teléfono, direcciones de correo electrónico generadas automáticamente o listas de direcciones de correo electrónico obtenidas ilícitamente de suscriptores a listas de correo.

Los objetivos de los ataques de phishing pueden ser a corto o a largo plazo. Los objetivos a corto plazo incluyen el despliegue de ransomware en los dispositivos de las víctimas y la exigencia de un rescate para descifrar sus datos o el robo de fondos de las cuentas de las víctimas.

Los objetivos a largo plazo incluyen obtener acceso a la red/sistemas corporativos de la organización de la víctima, desplegar malware en los sistemas de la víctima para obtener beneficios a largo plazo y de forma continuada, o con fines de vigilancia y extorsión.

Tipos de phishing

El phishing puede producirse a través de varios canales, entre ellos:

  • Envíe un correo electrónico a
  • SMS (también conocido como “Smishing”)
  • Redes sociales y mensajería instantánea
  • Llamadas telefónicas/llamadas de voz (también conocidas como “Vishing”)

En un ataque de phishing por correo electrónico, el atacante suele enviar un mensaje que parece proceder de una fuente auténtica, con una “llamada a la acción” que exige a la posible víctima hacer clic en un enlace para evitar consecuencias.

Por ejemplo, los atacantes pueden enviar un correo electrónico suplantando a su banco y exigiéndole que inicie sesión y reactive su cuenta o se arriesgue a la suspensión de la cuenta y a la pérdida de acceso a los fondos. En otros casos, los atacantes pueden enviar una factura vencida de un proveedor de servicios que requiera una acción inmediata, como pagar la factura para evitar recargos por demora y cargos adicionales.

Los phishers pueden utilizar diseños sofisticados, incluyendo el mismo logotipo, combinación de colores y tipo de letra que la organización objetivo para que el mensaje se parezca lo más posible a uno legítimo.

Fíjese bien en el remitente

Además, los phishers pueden utilizar métodos elaborados para hacer que el mensaje parezca proceder de una fuente legítima, en particular rellenando la dirección de correo electrónico de origen (por ejemplo,[email protected]) y/o manipulando de forma similar los enlaces en los que el usuario debe hacer clic.

En otros casos, los atacantes pueden utilizar otra técnica conocida como “ataques homógrafos”, en los que utilizan nombres de dominio paralelos que tienen letras de aspecto similar de idiomas distintos a los del alfabeto inglés. Por ejemplo, las letras a, c, e, o, p y x de los alfabetos inglés y cirílico son similares. Se denominan homógrafos.

Esto hace que incluso para un usuario experimentado sea difícil identificar que el dominio utilizado para el enlace y/o la dirección de origen son falsos, ya que las similitudes son escasas (por ejemplo, contact@ßitcoin.com; nótese la “B” en “ßitcoin”).

2. Los mensajes SMS son fáciles de imitar

El phishing por SMS (o “Smishing”) es similar al phishing por correo electrónico, aunque requiere mucha menos sofisticación por parte de los atacantes, ya que los mensajes SMS no suelen contener formato ni gráficos.

En el Smishing, un atacante se dirige a las víctimas enviándoles mensajes de texto que pueden parecerse a un mensaje de texto legítimo de un proveedor de servicios. Por lo general, se basan en el FUD o en el FOMO.

Un ejemplo de FUD incluye informar al objetivo de transacciones no autorizadas en su tarjeta de crédito y pedirle que haga clic en un enlace inmediatamente para detener más transacciones. En el caso del FOMO, un ejemplo puede consistir en que los atacantes informen al objetivo de que dispone de muy poco tiempo para optar a una oferta o descuento especial. En ambos casos, se anima a los destinatarios a hacer clic en los enlaces incluidos en los mensajes SMS.

En estos ejemplos, ni las transacciones no autorizadas ni las ofertas o descuentos especiales son auténticos. En su lugar, estos falsos escenarios crean una sensación de urgencia para aprovechar el miedo o el temor de los objetivos de los atacantes.

3. Phishing en las redes sociales

En las redes sociales y plataformas de mensajería instantánea, un atacante puede hacerse pasar por un proveedor de servicios (personal de atención al cliente de un proveedor de servicios, empleado de una empresa que ofrece asistencia, etc.) e intentar engañar al usuario para que haga clic en un enlace de phishing, de forma similar al phishing por correo electrónico y SMS. Busque nombres de usuario engañosos como ‘_crypto com official_’.

El objetivo principal de estos ataques suele ser conseguir que el usuario haga clic en el enlace. En algunos casos, el enlace desplegará malware/spyware/ransomware en el dispositivo de la víctima; en otros casos, el enlace les llevará a un sitio web con apariencia realista/de imitación donde introducirán sus credenciales, lo que permitirá a los hackers acceder a la cuenta real del usuario en el sitio web real.

4. Cuidado con las llamadas telefónicas inesperadas

El phishing de voz (o “Vishing”) es una variante ligeramente diferente del phishing, en la que los atacantes llaman a las víctimas o utilizan la tecnología para realizar llamadas masivas a las víctimas utilizando mensajes pregrabados. Intentarán convencer a las víctimas de que están llamando desde una organización legítima (por ejemplo, una entidad gubernamental como la Agencia Tributaria, o un proveedor de servicios como bancos, empresas de telecomunicaciones, etc.) con el fin de obtener información privada de sus incautas víctimas para acceder a sus cuentas, robar su identidad o adquirir fondos de forma ilícita.

En algunos casos, se puede coaccionar a las víctimas para que proporcionen pagos en métodos de pago imposibles de rastrear, como tarjetas de regalo y prepago, para evitar supuestas consecuencias para los agresores (por ejemplo, detención, deportación, ejecución hipotecaria de su vivienda, etc.). De hecho, que la Agencia Tributaria o el banco pidan que se les pague con tarjetas regalo prepagadas siempre debería levantar una bandera roja.

Reconocer el phishing y protegerse

La primera línea de defensa contra el phishing es mostrarse siempre escéptico ante correos electrónicos, mensajes o llamadas telefónicas inesperados con una llamada urgente a la acción.

Además, hay algunos signos reveladores a los que debe prestar atención y tener en cuenta a la hora de evaluar si un mensaje entrante es auténtico o no:

  • ¿La dirección de correo electrónico de origen procede del correo electrónico de contacto habitual de esa organización? Compruebe la dirección de correo electrónico completa y el dominio: ¿hay algo después del nombre de dominio habitual? Por ejemplo, el dominio de correo electrónico de Crypto.com es @crypto.com; sin embargo, si se rellena el dominio de correo electrónico (@crypto.com.algootro.com, por ejemplo), no se trata del mismo dominio.
  • ¿Ofrece la organización una función de código antiphishing? ¿Está activada para su cuenta? Si la respuesta a ambas preguntas es afirmativa, ¿aparece el código correcto en el correo electrónico?

Utilice el código antiphishing de Crypto.com para protegerse. Descubre cómo activarlo en la App Crypto.com, en la Bolsa y en el Mercado NFT.

  • Compruebe el enlace en el que debe hacer clic pasando el ratón por encima (y NO haciendo clic). ¿Va el enlace al nombre de dominio de la organización? ¿Está el dominio del enlace rellenado con algún añadido como el relleno del dominio de correo electrónico mencionado anteriormente?
  • Busque errores ortográficos y gramaticales. Los atacantes suelen cometer errores evidentes, un signo revelador de que no se trata de un correo electrónico legítimo.
  • ¿Se dirigen a usted por su nombre o por un término colectivo (por ejemplo, Estimado[su nombre ] frente a Estimado cliente)? Tenga en cuenta que esto no siempre es un indicador fiable, ya que los atacantes pueden tener su nombre y correo electrónico y pueden utilizar software de combinación de correo para dirigirse a las víctimas de forma individual.
  • ¿Un supuesto representante de la empresa se puso en contacto contigo de repente a través de las redes sociales o de una plataforma de mensajería instantánea? Esto ocurre especialmente después de publicar una queja o una pregunta sobre el servicio de la empresa. En la mayoría de los casos, los representantes no iniciarán el contacto a menos que navegues a su cuenta/página verificada e inicies el contacto tú mismo.
  • Si es demasiado bueno para ser verdad, casi seguro que lo es. ¿Le ofrecen oportunidades de inversión o préstamos en condiciones que parecen demasiado buenas para ser ciertas? Estos son algunos de los cebos habituales utilizados en el phishing.
  • ¿Le amenazan con consecuencias si no actúa inmediatamente? Que no cunda el pánico. Recuerde que siempre puede colgar y volver a llamar a la organización a su número público o ponerse en contacto con ellos a través de sus canales legítimos y oficiales de atención al cliente.

La regla de oro es que, si después de todo esto sigues sin estar seguro, es mejor que NO hagas clic en ningún enlace ni sigas ninguna solicitud que te envíen por correo electrónico, SMS, mensajería instantánea o teléfono. En su lugar, póngase en contacto usted mismo con la organización utilizando sus canales de contacto seguros (chat de atención al cliente, llamando a su línea de atención al cliente o navegando hasta su sitio web introduciendo usted mismo la URL en un navegador y accediendo a su cuenta).

Intentos de phishing a usuarios de criptomonedas

¿Qué significa esto en la práctica? He aquí cinco ejemplos de hipotéticos ataques de phishing. Pronto verás cuáles son las banderas rojas.

1. Las empresas no inician conversaciones de DM – y las dos excepciones

En esta muestra, un phisher se pone en contacto con una posible víctima para iniciar una conversación con ella, aunque los proveedores de servicios no suelen enviar primero mensajes directos (DM) a los usuarios. En otras palabras, normalmente tienes que iniciar un DM. Las excepciones son ponerse en contacto con los ganadores de concursos para la entrega de premios y pedir permiso para utilizar contenidos generados por los usuarios. Para esto último, debes tener un recuerdo claro de haber participado en el concurso y buscar todos los demás signos de una cuenta legítima, como un perfil verificado. Los intentos de enviarle a enlaces acortados son una señal de alarma.

Imagen 17

2. Las empresas legítimas no ofrecen oportunidades para hacerse rico rápidamente

En este tipo de escenario, una cuenta falsa que se hace pasar por un miembro del personal, como un gestor de una comunidad regional, envía mensajes a una víctima potencial en las redes sociales ofreciéndole oportunidades de inversión.

Imagen 16

3. Las empresas no añaden usuarios a los canales comunitarios

En este ejemplo, un phisher duplica un canal comunitario creando una réplica del grupo de Telegram y añadiendo víctimas potenciales. Los estafadores pueden hacerse pasar por personal auténtico e intentar que las víctimas revelen sus credenciales de acceso.

En cuanto a la política, los proveedores de servicios no suelen añadir usuarios a un grupo o canal comunitario. En su lugar, los usuarios deben encontrar los enlaces a los grupos y canales comunitarios oficiales.

Imagen 18

4. Utilice únicamente sitios web oficiales

Aquí, un ejemplo hipotético de un sitio web imitador intenta parecerse al sitio web de la cadena de bloques Cronos utilizando esquemas de color y logotipos similares. Los estafadores intentan que los usuarios les proporcionen las frases semilla de sus criptocarteras, lo que, a su vez, daría a los estafadores acceso irrevocable a las carteras no custodiadas de los usuarios y les permitiría drenar todos los activos.

Los usuarios deben prestar atención y desconfiar de la estructura tan básica del sitio, de la ausencia del logotipo, sustituido por un simple hexágono, y de la llamada a la acción.

Imagen 19

Por el contrario, el sitio web legítimo de Cronos que aparece a continuación tiene varias características únicas que lo distinguen del sitio web imitador anterior.

5. Compruebe si las cuentas de las redes sociales están verificadas

En otro ejemplo, un phisher puede crear una cuenta de Twitter con apariencia real que se parezca, por ejemplo, a la cuenta oficial de Loaded Lions para intentar robar fondos utilizando un falso lanzamiento aéreo como cebo.

Asegúrate de que las cuentas que sigues están verificadas como oficiales, y desconfía de las cuentas de grandes nombres que te siguen a ti primero. A continuación puedes ver una captura de pantalla tanto del perfil falso como del auténtico en Twitter.

Imagen 20
Imagen 21

6. Compruebe cuidadosamente las URL

Los phishers pueden crear una página falsa para un proyecto real y pagar un anuncio en Google para que aparezca en primer lugar. Por ejemplo, un ojo atento puede ver que la URL del anuncio tiene una errata (tcetonic.finance), mientras que el sitio web legítimo de Tectonic (tectonic.finance), un protocolo de mercado monetario algorítmico descentralizado no custodial construido sobre Cronos Chain, aparece debajo del anuncio como primer resultado de búsqueda.

Imagen 23

7. Tenga cuidado con los códigos promocionales de terceros

En este último ejemplo, un usuario podría buscar un código promocional y ser dirigido a sitios web fraudulentos de códigos promocionales falsos que pueden contener enlaces maliciosos.

Utilice únicamente códigos promocionales directamente de sitios oficiales y canales verificados.

Imagen 24

Conclusión – Cómo protegerse de los phishers

Dado que los piratas informáticos y los estafadores se lanzan cada vez más a la caza de víctimas y fondos, se prevé un aumento de los ataques de phishing. Ya se deban a filtraciones de datos o se dirijan al azar, los ataques de phishing son un riesgo para la privacidad y las finanzas de cualquiera. Mantenerse alerta, saber qué aspecto tiene el phishing y una buena dosis de escepticismo son algunas de las herramientas necesarias para protegerse de los intentos de phishing.

Diligencia debida e investigación propia

Todos los ejemplos que figuran en este artículo son meramente informativos. No debe interpretar dicha información u otro material como asesoramiento jurídico, fiscal, de inversión, financiero, de ciberseguridad o de otro tipo. Nada de lo aquí contenido constituirá una solicitud, recomendación, aprobación u oferta por parte de Crypto.com para invertir, comprar o vender monedas, tokens u otros criptoactivos. Los rendimientos de la compra y venta de criptoactivos pueden estar sujetos a impuestos, incluido el impuesto sobre plusvalías, en su jurisdicción. Las descripciones de los productos o características de Crypto.com son meramente ilustrativas y no constituyen una aprobación, invitación o solicitud.

Los resultados pasados no garantizan ni predicen los resultados futuros. El valor de los criptoactivos puede aumentar o disminuir, y usted podría perder la totalidad o una parte sustancial del precio de compra. Cuando evalúe un criptoactivo, es esencial que investigue y actúe con la diligencia debida para tomar la mejor decisión posible, ya que cualquier compra será de su exclusiva responsabilidad.

Compartir con amigos

¿Todo listo para comenzar tu viaje por el mundo de las criptomonedas?

Obtén tu guía paso a paso para abriruna cuenta con Crypto.com

Al hacer clic en el botón Enviar, reconoces haber leído el aviso de privacidad de Crypto.com donde explicamos cómo usamos y protegemos tus datos personales.

Crypto.com Mobile App