Saltar al contenido principal Saltar al menú principal Saltar al pie

"Phishing de pescadores" en las redes sociales

"Phishing de pescadores" en las redes sociales

Disminuir el tamaño del texto Aumentar el tamaño del texto

Página del artículo

¿Qué es el phishing?

Este ataque recibe su nombre del pez rape, que utiliza un señuelo bioluminiscente para atraer y atacar a presas más pequeñas. En este caso, el señuelo brillante es una cuenta de atención al cliente falsa que promete ayudar a sus clientes, pero en su lugar les roba sus credenciales en secreto.

¿Cómo sucede?

Los estafadores crean cuentas de servicio al cliente falsas y muy convincentes y luego monitorean los canales de redes sociales en busca de solicitudes de soporte al cliente. Los piratas informáticos de phishing suelen esperar para atacar las noches o los fines de semana, cuando es menos probable que su marca controle las interacciones en las redes sociales. Cuando el pirata informático ve que un cliente se comunica con su marca, secuestra la conversación respondiéndole directamente a ese cliente mediante su página de soporte falsa. 

Ejemplo 1: Cuentas falsas de atención al cliente en Twitter

Los delincuentes en línea crean cuentas de servicio al cliente falsas para obtener información de inicio de sesión y contraseñas bancarias y otros datos confidenciales. Estas cuentas impostoras se parecen mucho a las de las empresas reales, pero a menudo tienen un carácter diferente o incluyen un guión bajo adicional u otro carácter del teclado.

Cuando alguien tuitea sobre su banco, por ejemplo, los estafadores interceptarán la conversación y responderán a ese mensaje con lo que parece una respuesta auténtica.

Digamos que John Smith envió su solicitud a @mybank por Twitter. Los piratas informáticos pudieron interceptar su tuit y responder usando su cuenta falsa @askmybank. El enlace en la respuesta fraudulenta llevará a John a una réplica perfecta de la página de inicio de sesión del banco. Allí, los piratas informáticos pueden robar sus credenciales de banca en línea, el PIN del cajero automático, las preguntas y respuestas de seguridad y más.

Ejemplo 2: Fraude de PayPal

En este ataque, un estafador se dirigió a los usuarios de PayPal desde dos cuentas falsas de Twitter de PayPal. El tuit alienta a los destinatarios a hacer clic en la cuenta real de Twitter de PayPal, @PayPal, para recibir ayuda en un asunto urgente. Sin embargo, los estafadores están monitoreando las respuestas en la página oficial de Twitter de PayPal para rastrear las respuestas y aprovecharlas para sus ataques.

Además, cuando las víctimas reciben una respuesta de las cuentas falsas de Twitter de PayPal, son engañadas nuevamente ya que la respuesta tiene el logotipo de PayPal en negrita como imagen de la cuenta y el nombre de usuario parece oficial, excepto que modifica la palabra "Preguntar" al comienzo del nombre de usuario.
Se engaña a las víctimas para que introduzcan sus credenciales de PayPal en una página aparentemente legítima, pero falsa. De este modo, los delincuentes obtienen la información personal que necesitan para acceder a las cuentas y transferir los fondos que se encuentran allí.

¿Quién está en riesgo?

Las cuentas fraudulentas de atención al cliente son un problema para cualquier empresa que brinde servicio al cliente en las redes sociales. Sin embargo, una investigación de 2016 del Anti-Phishing Working Group muestra que más del 75 % de los intentos de phishing se dirigen a organizaciones de servicios financieros y comercio electrónico para robar credenciales bancarias y realizar compras fraudulentas.

¿Cómo puedo detener los ataques de phishing de Angler?

Para consumidores:
  • Nunca inicie sesión en una cuenta si el enlace le fue proporcionado por correo electrónico o redes sociales.
  • Si no está seguro de si un enlace que aparece en una publicación en una red social es seguro, NO copie y pegue el enlace en su navegador web. De todas formas, podría terminar en un sitio malicioso y potencialmente cargar malware en su computadora o red. Si no está seguro de si un enlace que recibió en una publicación es seguro, no es seguro copiar y pegar el enlace en la sección URL de su navegador web.
  • Acceda a sitios web a través de su navegador web. Si escribe la dirección de un sitio web directamente en su navegador web, se asegurará de que está accediendo a un sitio web legítimo y no a un sitio de phishing diseñado para imitar la apariencia del sitio real. A menos que el sitio haya sido pirateado o que su computadora tenga un virus, escribir la dirección web usted mismo es la mejor manera de garantizar la autenticidad de un sitio web.
  • Las medidas de seguridad basadas en la tecnología, como los cortafuegos, el cifrado, los antivirus, los filtros de spam y la autenticación fuerte NO evitarán el fraude de ingeniería social. No importa cuánta tecnología de seguridad implementes, nunca podrás deshacerte del eslabón más débil: el factor humano. Un ingeniero social es alguien que utiliza el engaño, la persuasión y la influencia para obtener información que de otro modo no estaría disponible.
  • Tenga cuidado al hacer clic en los enlaces que recibe en los mensajes de sus amigos en su sitio web de redes sociales. Trate los enlaces de los mensajes de estos sitios como lo haría con los enlaces de los mensajes de correo electrónico. 
  • No confíe en la información del remitente de un mensaje de correo electrónico. Incluso si el mensaje de correo electrónico parece provenir de un remitente que usted conoce y en el que confía, tome las mismas precauciones que tomaría con cualquier otro mensaje de correo electrónico. Los estafadores pueden falsificar fácilmente la información de identidad en un mensaje de correo electrónico.
  • Conozca el nombre de usuario de la cuenta de redes sociales de la empresa con la que está tratando. Asegúrese de comunicarse únicamente con la cuenta legítima.
  • Observa atentamente la respuesta que recibes y sé escéptico. Busca nombres de usuario de Twitter, direcciones de correo electrónico, etc. mal escritos.
Por negocios:

Este tipo de ataques supondrán un problema para cualquier empresa que ofrezca servicio de atención al cliente en las redes sociales. A continuación, se incluye una lista de algunas de las medidas clave que puede adoptar una organización para ayudar a prevenir los ataques de phishing:
  • Identifique las plataformas de redes sociales, las cuentas y las personas clave de su organización.
  • Documente quién es responsable de las cuentas corporativas. Estas cuentas deben tener contraseñas seguras que se cambien continuamente cada pocos meses.
  • Cuando corresponda, utilice cuentas verificadas. Twitter y Facebook ofrecen una opción para cuentas verificadas que ayuda a garantizar la autenticidad.
  • Controle continuamente las cuentas fraudulentas. Asegúrese de eliminar cualquier actividad sospechosa y de informarla a su equipo de TI o proveedor de servicios.
  • Mejore su seguridad aprovechando las soluciones de seguridad de correo electrónico. 






El pie de página no tiene contenido