Uno de los fraudes más viejos en Internet es el célebre “Príncipe
nigeriano”. Surgió a mediados de los años 90, y ha sido inmortalizado
por la cultura pop (ver la temporada 2 de “The Office”). Sus orígenes se
remontan a la Revolución francesa como una estafa de pago anticipado,
pero esa es otra historia.
El principio de un fraude de pago adelantado es relativamente
sencillo y no involucra malware real. De hecho, ¿por qué invertir mucho
dinero en malware cuando simplemente se puede convencer a alguien de que
baje la guardia?
El fraude del “Príncipe nigeriano” ha circulado durante décadas
porque, de hecho, funciona. Tiene un índice de éxito muy pequeño, pero
sigue siendo suficiente para que valga la pena.
En este blog, presentamos algunos de los tipos de fraude que hemos
observado con mayor frecuencia, que han continuado el patrón del
“Príncipe nigeriano” para incluir más contexto y ser más difíciles de
identificar.
El objetivo de este artículo no es asustar a nadie, o
alentarlo a vivir en una cueva por el resto de sus días. Pero sí
motivarlo a tomarse algunos segundos para considerar si algo suena
demasiado bien para ser verdad, o si en realidad es una flagrante
mentira.
PHISHING
El engaño más prolífico actualmente. Una campaña de phishing está
diseñada para asegurar que usted revelará su nombre de
usuario/contraseña/información personal a alguien que en primera
instancia no debería tenerlos.
Probablemente, tal personaje se haya
creado un correo electrónico con una apariencia profesional,
pretendiendo ser de una organización confiable.
Por ejemplo, si usted se encuentra en el Reino Unido, quizás haya
recibido un correo electrónico de una empresa que afirma ser su
proveedor de televisión por cable. Normalmente dicen que su pago no
procedió, y lo amenazan con aplicarle cuantiosas multas si no actualiza
su información financiera.
Existen algunas señales para identificar que esto es falso –y estas
reglas deben aplicarse a cualquier e-mail que reciba de una organización
o persona que no conozca.
Revise la dirección del correo electrónico. Aunque el nombre del remitente pudiera ser ‘licencias de TV’, la dirección del e-mail será algo diferente.
Un estafador tiende a no llamarlo por su nombre. Utilizarán
el nombre de usuario de su correo electrónico, o dirán “Querido
cliente” … Las empresas genuinas se dirigirán a usted directamente, en
particular cuando se trata de asuntos importantes como la información de
su cuenta.
Pase el puntero sobre el enlace al que se le pide ir(sin realmente pulsarlo). Si parece raro, probablemente es falso… e ir
a ese sitio web y escribir la información de su tarjeta de crédito sólo
financiará a los criminales informáticos, no renovará su servicio de
televisión.
Numerosos errores de ortografía y gramaticales, o logotipos borrosos. Si el e-mail parece haber sido diseñado sin cuidado, puede que no sea legítimo.
Sentido de urgencia. Si un correo
electrónico le pide actuar de inmediato, si tiene un sentido de
urgencia, o despierta su curiosidad: es muy sospechoso.
Solicitud de información personal o confidencial. Nunca responda a un e-mail no solicitado que le pida información personal, financiera o confidencial.
Tipo de archivo desconocido. En la
mayoría de las áreas profesionales, sólo algunos tipos de archivos deben
enviarse por correo electrónico. Si el tipo de archivo le parece
extraño, no lo abra.
CORREO BASURA DE PAQUETES Y FACTURAS
“No recuerdo haber comprador una suscripción a esta aplicación
móvil”, se dice a usted mismo. Eso es lo menos que el correo electrónico
implica: una suscripción vitalicia a, digamos, un cineclub. Espere, el
lugar citado en la factura dice que fue adquirida en Sri Lanka. Y usted
ni siquiera vive ahí. “Debe haber algún error”, se dice mientras abre
rápidamente el PDF anexo para investigar. Desafortunadamente, ese PDF contenía un software espía, el cual descarga Emotet a su dispositivo.
El engaño varía, pero normalmente se centra alrededor de un paquete
que usted no ordenó, una factura de algo que no adquirió, o un pago
mensual por una suscripción o servicio que no solicitó. Esto puede tener
varios resultados maliciosos. Desde credenciales bancarias robadas
hasta el criptomining.
Aquí es importante prestar mucha atención a las advertencias que
aparecen respecto a las extensiones o macros que necesitan habilitarse.
Raramente, si acaso, estos son necesarios, de modo que si recibió una
advertencia, ¡no continúe!
FRAUDE CON BOLETOS EN LÍNEA
Los fraudes con boletos electrónicos van en aumento.
Es cuando los
clientes son engañados para adquirir tickets falsos para eventos
deportivos o conciertos -normalmente de alto perfil para aumentar el
índice de éxito.
Los boletos falsos tenderán a duplicarse, o incluirán un código de
barras falsificado que no permitirá la entrada, o podría haber entradas
que nunca fueron emitidas.
A continuación, algunos consejos para protegerse contra el fraude con boletos en línea:
Compre sólo en compañías que conozca y en las que
confía. Cuando esto no es posible, búsquelas en línea, tal vez con la
palabra ‘scam’ (fraude) al frente del nombre de la empresa. Podría
encontrar foros en línea donde se han enviado quejas o revisiones.
Busque el símbolo del candado para verificar que el sitio es seguro.
Esté consciente del aumento del malverstising (anuncios
falsos que llevan a sitios web maliciosos). Como antes, busque al
vendedor y verifique su autenticidad antes de hacer una compra.
EXTORCIÓN DIGITAL
Las campañas de extorsión digital aprovecharán las amenazas contra su
reputación, sus relaciones y algunas veces incluso su vida. A
diferencia del fraude del “Príncipe nigeriano” que ofrece riqueza y
romance, vemos aquí una transición de la zanahoria al palo.
Por ejemplo, digamos que usted recibió un correo electrónico con una
línea de “Asunto” que contiene su nombre de usuario y contraseña. Aunque
esto resultaría sorprendente, es el cuerpo del e-mail lo que realmente
llama la atención.
Quienquiera que sea, afirma haber comprometido un sitio pornográfico y
que usted lo visitó. El estafador dice que tomó control de su monitor y
de la cámara web, lo grabó a usted y al material pornográfico, y
sincronizó ambas secuencias. Como si esto no fuera lo suficientemente desconcertante, el estafador
afirma haber reunido a todos sus contactos de Messenger, Facebook y
correo electrónico.
Finalmente, insinúa que sería muy embarazoso si el
video se enviara a dichos contactos.
Ahora, el defraudador afirma que no es un monstruo y que podría
borrar este contenido. De hecho, está dispuesto a desaparecer todo por
la insignificante suma de mil dólares en Bitcoins.
Si esto parece una extorsión, es porque lo es.
También es un embuste. Al igual que los fraudes de pago avanzado,
en los fraudes de “sextorsión”, estos personajes malintencionados van
tras un segmento vulnerable de usuarios.
A través del uso de campañas de
phishing por correo masivo, esperan que un porcentaje de los receptores
piense que han realizado, en algún momento, la actividad descrita
frente a un dispositivo con cámara. Están contando con el hecho de que
un pequeño grupo de esos destinatarios estaría sometido a la suficiente
vergüenza y humillación que pagará el dinero para evitarlo, sea cierto o
no.
Ante todo, no hay nada cierto en estos correos electrónicos. Esta es
otra serie de campañas de phishing enviadas por volumen, esperando
engañar a suficientes destinatarios para que los esfuerzos de los
defraudadores sean rentables.
La mayoría de estos e-mail se ha
distribuido a través del botnet Necurs, poniendo su legitimidad al nivel
de los fraudes pump and dump (inflar y tirar), el ransomware y otras actividades maliciosas por los que el botnet es conocido.
Dichos correos electrónicos también están plagados de fanfarronería
tecnológica. Eso sin decir que es imposible ver su escritorio o cámara
web remotamente, lo que es altamente improbable en la manera en que el
defraudador lo describe. Pero ellos están contando con los mensajes que
llegan a los usuarios que desconocen esto.
Al igual que los
destinatarios vulnerables que probablemente pasarán por alto los errores
ortográficos y gramaticales en este tipo de fraudes, también las
víctimas en estos casos ignoran o no entienden suficientemente los
detalles técnicos para darse cuenta de la posibilidad de tal trampa.
Este es quizás el más inquietante de todos los fraudes, porque va tras el deseo de la gente de ayudar a los necesitados.
Los chicos malos, en su lado más creativo, inventarán alguna historia
en torno a que necesitan ayuda porque no tienen un hogar, sus padres
los echaron a la calle o requieren ayuda médica costosa. Tratarán de
utilizar los sitios de crowdfunding existentes, como GoFundMe para estas
narraciones.
No quiero desanimar a nadie de ayudar a quienes están necesitados;
sin embargo, estas son algunas pistas que le ayudarán a diferenciar las
historias falsas, de las de quienes realmente necesitan de su apoyo.
¿Se ha solicitado una donación? Si es así, ¿hay una
organización de caridad involucrada (con su logotipo en la página) o le
está pagando a un individuo? Si no conoce al individuo, intente
verificar primero su campaña.
Puede hacer esto buscando la campaña en cuestión –
podría estar apareciendo en los noticieros por las razones correctas o
equivocadas.
La página debe ser clara respecto a cómo se gastará el dinero. Si no se menciona el tema, eso podría ser una pista potencial.
No acepte solicitudes de amistad o contacto en las redes
sociales de gente que no conoce. Podrían estar tratando de participar
en dicha campaña.
Finalmente, cabe mencionar que la mayoría de los fraudes en línea
apelan a la compasión, el temor o la codicia de un usuario. Quieren que
usted tome decisiones rápidamente al apuntar a una de tales actitudes.
Lo invitamos a que dedique algunos segundos para verificarlos, de modo
que usted no se quede sin dinero, o se convierta en otra estadística del
fraude en línea.