En Ciberso tenemos clara la necesidad de la concienciación de todos para evitar ciberataques y otro tipo de problemas en este campo, tanto a la hora de diseñar y desarrollar programas y aplicaciones, como en el uso diario de dispositivos digitales, en todos los ámbitos de las empresas y organizaciones. Creemos que esa concienciación debe abarcar desde los propios sistemas hasta el último de los empleados que, en mayor o menor medida, utilizan esas herramientas digitales y cuyas acciones afectan a los sistemas de la organización.
Por ello, volvemos a traer a un post una relación de los intentos de fraude y estafa más comunes, así como algunos consejos para intentar evitarlos.
‘Phishing’ y otras modalidades de fraude
Comenzamos la relación de amenazas con una de las más populares. El ‘phishing’ es la suplantación de una marca o persona, generalmente una entidad bancaria o empresa proveedora de servicios, en la que el ciberdelincuente envía o establece una comunicación (‘phishing’ en el caso de correo electrónico, ‘smishing’ si es a través de SMS, o ‘vishing’ si es por llamada telefónica), con el objetivo de obtener datos personales o claves de acceso para, posteriormente, consumar el fraude. Esta obtención de datos se puede realizar a través de un enlace que se envía, un programa malicioso que reporta claves al delincuente, o con la información directa de los datos por parte de las víctimas engañadas por la suplantación.
Hace tiempo estas suplantaciones eran muy burdas y fáciles de identificar, pero cada vez se van pareciendo a las comunicaciones originales de las empresas y resulta más complicado no caer en el engaño.
El fraude del CEO es una suplantación al líder o responsable de una organización. Mediante un correo electrónico que simular ser de ese directivo, se solicita a empleados información confidencial o de cuentas de la empresa, salarios de empleados o datos de clientes.
Otra modalidad es el acceso a archivos compartidos. Con el creciente uso de métodos de trabajo colaborativos y de la nube, crecen también las solicitudes fraudulentas para acceder a dichos archivos en cuentas de DocuSign y Dropbox, por ejemplo. También los ciberdelincuentes intentan que en esos procesos se ‘pinche’ en enlaces dañinos.
El ‘phishing móvil’ es una derivada del ‘phishing’ tradicional, con la que se distribuyen aplicaciones móviles falsas que recogen, en segundo plano, información personal de los usuarios o envían mensajes de texto con enlaces peligrosos.
Relacionado con la aplicación Bizum está el ‘Bizum inverso’, en el que mediante un mensaje engañoso se pide aceptar un ingreso cuando realmente se está confirmando una solicitud de cobro.
La ‘estafa del amor’ se basa en anuncios falsos en internet o suplantación de amigos en redes sociales para buscar una aparente relación sentimental o de amistad que termina con solicitudes de dinero o regalos costosos.
Las encuestas ‘online’ también pueden ser potenciales amenazas, ya que en ocasiones se pueden recibir correos para solicitar la participación en una encuesta que exige acceder a enlaces que pueden dar lugar a la introducción de malware.
En general, los enlaces y archivos adjuntos son los principales elementos que los ciberataques de ingeniería social ponen al alcance de las potenciales víctimas. Conviene ser prudente y no descargar ningún archivo de remitentes que no sean de confianza.
Consejos para evitar estafas y ciberataques
Incluimos a continuación algunos consejos básicos que pueden ayudar en esa concienciación y para la detección de amenazas o intentos de fraude.
– Desconfiar de quienes, a través de un correo electrónico, un mensaje o una llamada telefónica, solicitan más información de la necesaria.
– Asegurarse de que no existe suplantación de identidad en un correo electrónico, un mensaje o una llamada telefónica.
– Antes de ‘clicar’ en un vínculo se debe colocar el cursor sobre él para ver si la dirección URL parece auténtica.
– De igual modo, antes de iniciar una sesión en una cuenta online hay que estar seguros de que la dirección web es la correcta.
– Se debe sospechar de las ofertas que son demasiado buenas. Sobre todo, en campañas comerciales como la del Black Friday.
– Textos mal escritos. Si contienen errores gramaticales o faltas de ortografía, lo más probable es que estemos ante un intento de engaño.
– Logotipos parecidos, pero no iguales. Si los logos no tienen nitidez, están deformados o presentan alguna diferencia con los originales, es otro motivo para desconfiar.
– Direcciones URL falsas. Uno de los objetivos de las campañas de ‘phishing’ es provocar que la víctima clique en un enlace del correo electrónico para dirigirla a un sitio web malicioso. Pasar el cursor por encima del vínculo o copiar la URL en un procesador de textos para examinarla, nos ayudará a saber si la dirección es auténtica o falsa.
– Comunicados extraños de las entidades bancarias. Si en los correos electrónicos se nos exige realizar alguna acción o aportar información confidencial, lo mejor es ponerse en contacto con la sucursal y exponerle el caso.
– Seguimientos de envíos. Suplantar a las empresas de reparto de mercancía es otra de las técnicas utilizadas por los ciberdelincuentes. Es conveniente ser precavido cuando se reciben correos que incluyen vínculos para hacer el seguimiento de un envío.