¿Qué es el phishing de pescadores?
Este ataque recibe su nombre del pez pescador, que utiliza un señuelo bioluminiscente para atraer y atacar a presas más pequeñas. En este caso, el señuelo brillante es una cuenta falsa de atención al cliente que promete ayudar a sus clientes pero que, en cambio, roba secretamente sus credenciales.
¿Cómo se produce?
Los estafadores crean cuentas falsas de atención al cliente muy convincentes y luego vigilan los canales de las redes sociales en busca de solicitudes de atención al cliente. Los hackers que practican el phishing suelen esperar a atacar por la noche o los fines de semana, cuando es menos probable que su marca supervise las interacciones en las redes sociales. Cuando el hacker ve que un cliente se pone en contacto con su marca, se apropia de la conversación respondiendo directamente a ese cliente a través de su página de asistencia falsa.
Ejemplo 1: Cuentas falsas de atención al cliente en Twitter
Online criminals set up fake customer service accounts to phish for bank login and password information and other sensitive data. These imposter accounts look very similar to that of real businesses, but are often one character off -- or they include an extra underscore or another keyboard character.
When someone tweets at their bank for example, scam artists will intercept the conversation, and reply to that message with what seems like an authentic answer.
Digamos que John Smith tuiteó su petición a @mybank, los hackers fueron capaces de interceptar su tuit y responder usando su cuenta falsa @askmybank. El enlace de la respuesta fraudulenta llevará a John a una réplica perfecta de la página de inicio de sesión del banco. Allí los hackers pueden robar sus credenciales de banca online, el pin del cajero automático, las preguntas y respuestas de seguridad y mucho más.
Ejemplo 2: fraude en PayPal
En este ataque, un pescador phisher se dirigió a los usuarios de PayPal desde dos cuentas falsas de PayPal en Twitter. El tuit anima a los destinatarios a hacer clic en la cuenta real de PayPal en Twitter, @PayPal, para obtener ayuda en un asunto urgente. Sin embargo, los estafadores vigilan las respuestas de la página oficial de PayPal en Twitter para recogerlas y aprovecharlas para sus ataques.
Además, cuando las víctimas reciben una respuesta de las cuentas falsas de PayPal en Twitter, se les vuelve a engañar, ya que la respuesta tiene el logotipo de PayPal en negrita como imagen de la cuenta, y el mango parece oficial, excepto que modifica la palabra "Ask" al principio del mango.
Los objetivos son atraídos para que introduzcan sus credenciales de PayPal en la página aparentemente legítima, pero falsa. De este modo, los malos actores reciben la información personal que necesitan para acceder a las cuentas y transferir los fondos que allí se encuentran.
¿Quién está en riesgo?
Fraudulent customer support accounts are a problem for any business that provides customer service on social media. However, 2016 research from the Anti-Phishing Working Group shows that more than 75% of phishing attempts target financial service and eCommerce organizations to steal banking credentials and make fraudulent purchases.
¿Cómo puedo detener los ataques de phishing de pescadores?
Para los consumidores:
- Never log in to an account if the link is provided to you through email or social media.
- If you are unsure about a link in a social media post, do NOT copy and paste the link into your web browser. You could still end up at the malicious site and potentially load malware on your computer or network. If you are unsure whether a link you received in a post is safe, it is not safe to copy and paste the link into the URL section of your web browser.
- Access websites through your web browser. Typing the address of a website directly into your Web browser will ensure that you are going to the legitimate Web site and not a phishing site that was designed to mimic the look of the real thing. Unless the site was hijacked or your computer has a virus, typing the web address yourself is the best way to guarantee the authenticity of a website.
- Technology-based security measures such as firewalls, encryption, anti-virus, spam filters, and strong authentication will NOT prevent social engineering fraud. No matter how much security technology you implement, you can never get rid of the weakest link - the human factor. A social engineer is someone who uses deception, persuasion, and influence to get information that would otherwise be unavailable.
- Ten cuidado cuando hagas clic en los enlaces que recibas en los mensajes de tus amigos en tu sitio web social. Trate los enlaces en los mensajes de estos sitios como lo haría con los enlaces en los mensajes de correo electrónico.
- Don't trust the sender's information in an e-mail message. Even if the e-mail message appears to come from a sender that you know and trust, use the same precautions that you would use with any other e-mail message. Fraudsters can easily spoof identity information in an e-mail message.
- Conozca la cuenta de redes sociales de la empresa con la que está tratando. Asegúrese de que sólo se comunica con la cuenta legítima.
- Fíjate bien en la respuesta que recibes y sé escéptico. Busque nombres de Twitter mal escritos, direcciones de correo electrónico, etc.
Para las empresas:
Este tipo de ataques será un problema para cualquier empresa que preste servicio al cliente en las redes sociales. A continuación se presenta una lista de algunas acciones clave que una organización puede tomar para ayudar a prevenir los ataques de phishing de pescadores:
- Identify your organization’s social media platforms, accounts, and key individuals.
- Documente quién es el responsable de las cuentas corporativas. Estas cuentas deben tener contraseñas seguras que se cambien continuamente cada pocos meses.
- Cuando proceda, utilice cuentas verificadas. Twitter y Facebook ofrecen una opción de cuentas verificadas para ayudar a garantizar la autenticidad.
- Supervise continuamente las cuentas fraudulentas. Asegúrate de anotar cualquier actividad sospechosa e informar a tu equipo de TI o proveedor de servicios.
- Mejore su seguridad aprovechando las soluciones de seguridad del correo electrónico.