- Además del correo electrónico, el phishing por SMS y anuncios en redes sociales va en aumento
Según una investigación retrospectiva realizada por los especialistas de Kaspersky Lab, el período navideño- que comienza de manera no oficial con el llamado Black Friday y sigue con el Ciberlunes y Navidad- se ha caracterizado por un aumento de phishing y otros tipos de ataques, lo que sugiere que el patrón se repetirá este año.
Mientras que los consumidores están a la expectativa de grandes ofertas en línea, los minoristas preparan sus tiendas virtuales para un aumento masivo de visitantes, y los propietarios de las infraestructuras financieras – bancos y sistemas de pago – se alistan para un gran incremento en la cantidad y valor de las transacciones. Sin embargo, esta temporada alta de ventas es, obviamente, también buena temporada de caza para los ciberdelincuentes.
Tal como lo muestran las estadísticas de Kaspersky Lab con respecto a amenazas, en 2014 y 2015, la proporción de páginas de phishing que cazan datos financieros (detalles de tarjetas de crédito) detectados por la compañía durante el cuarto trimestre (que incluye el período navideño) fue alrededor de 9 puntos porcentuales más alto que el promedio del año. En particular, el resultado para phishing financiero en todo el año 2014 fue 28.73%, mientras que el resultado para el cuarto trimestre fue 38.49%. En 2015, de todos los ataques de phishing, 34.33% fue financiero, mientras que, en el cuarto trimestre ese tipo de phishing fue responsable de 43.38% de todos los ataques.
Los ataques de phishing contra sistemas de pago y tiendas en línea experimentaron un aumento significativo. Los ataques contra los bancos también crecieron, pero a un ritmo menor. Sin embargo, este año, las otras dos formas que se han observado y ya están en uso por los estafadores son el phishing a través de SMS y anuncios fraudulentos publicados en las redes sociales.
El objetivo de los estafadores es hacer menos evidente el ataque, llegando a las víctimas por medio de diferentes canales aparte del correo electrónico. En el caso de los SMS, el objetivo son los propietarios de teléfonos inteligentes que normalmente realizan compras por medio de sus dispositivos móviles. Los delincuentes envían miles de mensajes SMS con enlaces a sitios web falsos, que al hacerle clic, redireccionan a sus víctimas a páginas falsas ya en formato móvil. Similarmente, para robar datos de pago, los delincuentes crean una página falsa de un sistema de pago conocido, copian sitios legítimos de minoristas en línea o incluso crean tiendas 100% falsas con ofertas muy atractivas. De hecho, los cibercriminales hasta invierten en publicidad en redes sociales para así atrapar a más víctimas.
Y, por supuesto, los delincuentes aprovechan el tema del Viernes Negro. Mientras realizaban una investigación acerca del entorno de las amenazas en octubre de 2016, los investigadores de Kaspersky Lab detectaron una tienda en línea falsa que ofrecía productos a precios atractivos. Lo que significa que semanas antes del inicio real de las ventas de fin de año, los delincuentes ya se están preparando.
“Las tácticas siempre son las mismas: los cibercriminales envían millones de correos y miles de mensajes de texto falsos con supuestas ofertas tentadoras de electrodomésticos, smartphones, entre otros productos, a precios muy bajos para que una vez la victima haga clic en el enlace, entre en el sitio falso que clonará su tarjeta de crédito al intentar realizar una compra. Para hacer esto, los criminales detrás del phishing abusan de nombres de empresas conocidas y establecidas en el mercado, criando dominios falsos y diseminando ofertas falsas”, comentó Fabio Assolini, analista sénior de seguridad en Kaspersky Lab.
Con el fin de prevenir que los usuarios se conviertan en victimas de estafas de phishing durante la temporada navideña que arranca con el Viernes Negro, los expertos de Kaspersky Lab recomiendan las siguientes medidas:
- Verificar el dominio y el bloqueo de seguridad: es común entre los phishers registrar dominios con el nombre de marcas famosas y conocidas en el mercado, pero con un cambio de una letra en el nombre. Por lo tanto, «sitedecompra.com» se convierte en «sitedeconpra.com» o «saitedecompra.com». Otro consejo es comprobar si el sitio cuenta con SSL (bloqueo de seguridad) porque los sitios fraudulentos rara vez lo tienen.
- Dudar de ofertas extravagantes: Otra táctica común entre los defraudadores es ofrecer productos a precios muy atractivos, muy por debajo de los del mercado. Al encontrar una oferta así, no se debe comprar por impulso, es importante cerciorarse primero que el sitio sea real y comparar el precio en otros sitios. Ante la duda, es mejor no comprar.
- Tener cuidado con los mensajes SMS y los anuncios de Facebook: Esta es la maniobra más nueva de los estafadores; utilizan sobre todo las redes sociales para difundir el fraude. Se debe dudar de las supuestas ofertas recibidas por SMS. Para confirmar que son reales, hay que buscar el producto anunciado en el sitio del comerciante y verificar la promoción.
- Utilizar software de protección: Kaspersky Internet Security ayuda a los usuarios a realizar compras en línea, al bloquear sitios de phishing. Al utilizar Safe Money se pueden hacer pagos en línea de forma segura, evitando la clonación de la tarjeta o la alteración del recibo bancario por virus.
El phishing es una de las amenazas informáticas más extendidas con la que los usuarios pueden encontrarse durante la temporada de fin de año, pero no es la única. Lea más acerca de otros tipos de amenazas a clientes, minoristas y bancos que puedan surgir en esta temporada navideña en el Informe de Ciberamenazas durante la temporada de fin de año de Kaspersky Lab en Securelist: https://securelist.com/analysis/publications/76615/kaspersky-lab-black-friday-threat-overview-2016/
Medidas adicionales que los clientes pueden implementar con el fin de protegerse a sí mismos, están disponibles en el blog de Kaspersky: https://blog.kaspersky.com.mx/black-friday-survival-guide/7947/.
Lea más acerca de lo que pueden hacer las empresas con el fin de protegerse contra las ciberamenazas durante la temporada navideña en el blog Kaspersky Business.
