Los delincuentes aprovechan la ansiedad por la entrega del pedido para hacer phishing por email
Los confinamientos por la COVID-19, el trabajo desde casa y el período previo a la temporada navideña han impulsado un aumento sin precedentes en las compras en línea, y una oportunidad perfecta para los ataques de phishing.
El auge de las compras en línea
Gracias a la COVID-19 y los confinamientos, 2020 se ha convertido en el mejor año para las compras en línea. Ya nos encantaban las compras en línea, sin multitudes, sin viajes, sin complicaciones, pero este año la conveniencia fue superada por la practicidad como principal beneficio. Viviendo encerrados y pasando por períodos de autoaislamiento, sin compras no esenciales y muchas tiendas cerradas debido a problemas de personal, las compras en línea se convirtieron en un salvavidas para muchos.
Amazon ha informado que sus ingresos del tercer trimestre fueron de USD 96,15 mil millones, un aumento del 37 por ciento. Está pronosticando ingresos de USD 112 mil millones a USD 121 mil millones para el cuarto trimestre. A medida que nos acercamos a la temporada navideña, las ventas en línea se dispararán una vez más. Amazon informa que las compras navideñas ya están en marcha en noviembre.
Por supuesto, las compras en línea son mucho más que solo Amazon, pero son un criterio útil para demostrar las tendencias. Muchos consumidores todavía tienen demasiado miedo para comprar en la tienda. Están alarmados ante la idea de multitudes, no creen que se observen las pautas de distanciamiento social y sospechan que muchos no usarán mascarillas. Es mucho más fácil comprar desde casa.
Si eres de los que no trabaja desde casa, puedes realizar pedidos online y recibir tu mercancía en tu lugar de trabajo. Si no estás allí para firmarlo, uno de tus colegas lo firmará y se encargará de su entrega.
Ese es el único inconveniente de comprar en línea. La entrega.
Ansiedad por la entrega
En algún momento, los millones y millones de compras online tienen que salir de los mundos digitales y materializarse en el mundo físico. Eso solo ocurre cuando llega tu pedido. Esperar la entrega puede ser estresante. Sobre todo si se trata de una entrega importante. Puede que no sea porque el artículo sea caro, podría ser simplemente que estás confiando en que ese artículo te sea entregado a tiempo para que lo envuelvas y se lo entregues al destinatario en su cumpleaños, aniversario o algún otro plazo inamovible.
Es fácil sentir una creciente inquietud cuando está esperando una entrega. ¿Va a ser tarde? ¿Se envió a la dirección incorrecta o hubo una confusión y aún no se ha enviado? ¿Ha habido algún retraso debido a la liquidación de pagos?
Y ahí es donde entran en escena nuestros actores de amenazas oportunistas y estacionales. Con millones de ventas en línea, hay millones de entregas. Son muchas las personas que no se sorprenderían demasiado de recibir un correo electrónico sobre su entrega. Entonces, los actores de amenazas aprovechan esa expectativa y envían a tantas personas como pueden un correo electrónico que es un lobo con piel de cordero.
Correos electrónicos de phishing
Los correos electrónicos de phishing son correos electrónicos fraudulentos que parecen haber sido enviados por una entidad reconocida o confiable, como un banco, una empresa o una plataforma de pago en línea. Los ataques más sofisticados requieren grandes esfuerzos para crear un correo electrónico con la misma apariencia que tendría un correo electrónico genuino. Quieren que tenga el tono correcto, la librea correcta y sea persuasivo. Quieren que el destinatario crea que el correo electrónico es genuino y que haga clic en un enlace o abra un archivo adjunto.
El enlace conduce a un sitio web falso que intentará recolectar credenciales de inicio de sesión o infectar tu computadora con malware. Si hay un archivo adjunto, contendrá malware, generalmente en forma de un pequeño cuentagotas (dropper) o programa de descarga. Esto se instalará en segundo plano y luego descargará el malware más grande y dañino, tal vez un troyano de acceso remoto (RAT) o una de las muchas amenazas de ransomware.
Los ciberdelincuentes reaccionan muy rápidamente a las tendencias. Pueden volver a reutilizar una estafa existente y sacarla a la luz con los colores de esta temporada en muy poco tiempo. La manera más fácil de disfrazarlas es hacer que parezcan que vienen de una empresa de mensajería, porque saben que millones de personas están esperando una entrega. También puede parecer que provienen de un servicio de pago como PayPal y afirman que hay un problema con su pago. Pero no todo el mundo usa PayPal. Y si no es así, sabrás de inmediato que se trata de una estafa. Pero si estás esperando una entrega, sabes que habrá una mensajería involucrada.
Aprovechando el fenómeno de la ansiedad de entrega generalizada, los actores de amenazas esperan que el destinatario promedio vea un correo electrónico sobre su entrega, dé un suspiro mental de "¡Oh, no!", luego haga clic en el enlace o abra el archivo adjunto sin detenerse para verificar, o incluso considerar, que el correo electrónico puede no ser genuino. Y así, la ansiedad por la entrega anula la higiene cibernética básica.
Aliado al phishing está el smishing, que es phishing por mensaje de texto SMS. Debido a que los mensajes de texto son un medio breve y conciso, no es necesario considerar la apariencia del mensaje. Un SMS parece un SMS sin importar quién lo envíe. Los actores de amenazas no necesitan preocuparse por encontrar la fuente, el logotipo, la voz y el tono correctos. Y el bajo límite de caracteres significa que las URL abreviadas son la norma en los mensajes de texto, por lo que no despiertan sospechas.
Todo el mundo es un objetivo
Usando direcciones de correo electrónico tomadas de las enormes bases de datos que contienen los datos personales robados que se pueden encontrar en la Dark Web, los actores de amenazas pueden enviar sus correos electrónicos falsos a literalmente millones de destinatarios. No estás siendo señalado. Eres un objetivo simplemente porque tus datos se incluyeron en un robo de datos en algún momento en el pasado. Esto no es un francotirador. Esto es ametrallar a ciegas y luego mirar a ver quién ha sido alcanzado.
Puedes verificar fácilmente si has sido expuesto tu correo electrónico o teléfono debido a un robo de datos. El sitio web have I Been Pwned reúne todas las filtraciones de datos y las coloca en una base de datos en línea con capacidad de búsqueda de más de 10 mil millones de registros. Si tu dirección de correo electrónico se encuentra en la base de datos, se te informará en qué empresa o sitio web ocurrió la violación de datos. Luego puedes cambiar tu contraseña en ese sitio o cerrar la cuenta.
Sin embargo, no hay mucho que puedas hacer con respecto a tu dirección de correo electrónico. Una vez que está ahí, está ahí fuera. Y probablemente serás barrido como parte de la munición que un actor de amenazas introduce en el software de su campaña de phishing.
El mismo principio se aplica a los números de teléfonos móviles. Las violaciones de datos que filtran datos personales a menudo incluyen detalles de teléfonos celulares. Luego, estos se utilizan como números de destino para el software de SMS automatizado utilizado por los actores de la amenaza.
Por qué deben ser cautelosas las organizaciones
Se está produciendo una confusión entre la vida digital hogareña de las personas y su vida digital empresarial. Las personas llevan sus propios dispositivos, como teléfonos celulares, a su lugar de trabajo y se conectan a la red Wi-Fi. Realizan sus compras en línea en casa, pero a menudo eligen que se las entreguen en su lugar de trabajo, si es allí donde van a estar durante el día.
Eso significa que si un correo electrónico de phishing disfrazado de correo electrónico de una mensajería cae en la bandeja de entrada de tu empresa, no te sorprenderás. Tu interés en la entrega probablemente anulará la capacitación de concienciación de tu personal sobre cómo detectar un correo electrónico de phishing.
Los empleados pueden recibir el correo electrónico de phishing en su teléfono celular y reenviarlo al correo electrónico de la empresa para que puedan imprimirlo o manejarlo en una pantalla grande y con un teclado real. Pueden usar tu computadora corporativa para acceder a tu correo web personal a la hora del almuerzo. Independientemente de la ruta que tome un correo electrónico de suplantación de identidad (phishing) para llegar a la bandeja de entrada comercial o al equipo corporativo de alguien, es la red de cada organización la que corre el riesgo de infectarse y verse comprometida.
Cómo detectar ataques
Estas acciones ayudarán a mantener a tu personal, y tu red, a salvo de ataques de phishing y smishing.
• ¿De verdad estás esperando una entrega? ¿Puedes dar por recibido todo lo que has pedido?
• Verifica cuidadosamente la dirección de correo electrónico del remitente. ¿Tiene el nombre de dominio que esperabas que tuviera? Si no es así, sospecha. A menudo, puede haber una diferencia de una sola letra. Hay algunos ejemplos bien conocidos de esto. Uno parecía decir "microsoft.com", pero la "m" inicial fue reemplazada por dos letras "r" y "n". De un vistazo, "rn" parece "m". El segundo ejemplo fue "apple.com" con la "l" (elle) minúscula, reemplazada con una "I" (i) mayúscula. En algunos tipos de letra, estos se ven exactamente iguales. Por tanto, mira detenidamente cada letra de la dirección de correo electrónico. No lo abras ni lo leas.
• Trata los enlaces como trampas potenciales. Pasa el puntero del mouse sobre ellos y verifica la información sobre herramientas para ver a dónde están tratando de llevarte. Pueden hacer que el texto del enlace diga lo que quiera. Eso no significa que es ahí donde apunta el vínculo. Si tienes alguna duda, no utilices el enlace. Realiza una búsqueda en la web y navega hasta el sitio manualmente.
• A pesar de sus mejores esfuerzos, los actores de amenazas aún pueden cometer errores gramaticales y ortográficos. Los correos electrónicos genuinos no tienen este tipo de errores, especialmente cuando provienen de sistemas automatizados. Si se ve mal, está mal.
• ¿Los gráficos y el membrete parecen profesionales, o parece que alguien ha usado cortar y pegar para colocar las imágenes y no coincide con la versión del blanco en el fondo?
• Ninguna organización acreditada te pedirá que proporciones contraseñas, detalles de la cuenta u otra información confidencial.
• Recuerda, las filtraciones de datos que utilizan los actores de amenazas como fuente de direcciones de correo electrónico y números de teléfonos móviles también contienen otros datos personales. Por lo tanto, es fácil usar tu nombre en el correo electrónico o en el texto SMS. El hecho de que te mencionen por tu nombre no indica que sean genuinos el correo electrónico o el SMS. Aún debes ser cauteloso y tener cuidado.
