Seguridad

Nuevas técnicas de phishing para ser conscientes de vishing y smishing

Nuevas técnicas de phishing para ser conscientes de vishing y smishing / Seguridad

Los datos personales se han convertido en una de las monedas más valiosas y buscadas. Lo manejamos y lo intercambiamos sin pensar, todos los días, abriéndonos a nosotros mismos y nuestros santuarios de datos internos a los posibles atacantes que usarían esa información en contra de nosotros. Detectar intentos de phishing se ha convertido en de rigor para la mayoría de los usuarios de internet. Si alguna vez se ha inscrito en algo en línea, es muy probable que su nombre completo, dirección de domicilio, dirección de correo electrónico y número de teléfono también hayan cambiado de manos. Armados con esto, los estafadores pueden intentar explotarte..

Nos gusta pensar que somos demasiado inteligentes para ser engañados por las estafas obvias. Que nuestro conocimiento de la forma en que se realizan las estafas de suplantación de identidad (phishing) nos hace superiores a la Sra. Bethel en el futuro, que no pudo detectar una “Princesa nigeriana” de una factura simulada de PayPal Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing ¡Atrapar un correo electrónico de phishing es difícil! Los estafadores se hacen pasar por PayPal o Amazon, intentando robar su contraseña y la información de su tarjeta de crédito, y su engaño es casi perfecto. Te mostramos cómo detectar el fraude. Lee mas . Incluso podría ser algo cierto. Pero los defraudadores no descansan, y como hemos visto con el crecimiento en Vishing y Smishing explotaciones, están felices de utilizar nuevos vectores de ataque para explotar su confianza.

¿Qué deberías estar buscando? Consejos rápidos y hechos que ayudarán a evitar las estafas de vishing y smishing Consejos rápidos y hechos que ayudarán a evitar las estafas de vishing y smishing Leer más ¿Cómo sabrá un intento de vishing o smishing cuando llegue? ¿Y es probable que seas un objetivo??

Vamos a ver.

¿Cuáles son estas nuevas técnicas?

Los intentos de phishing suelen venir a través de correo electrónico o mensajería instantánea. La víctima recibe un correo electrónico o mensaje instantáneo con un campo de remitente falsificado que contiene un mensaje que requiere una respuesta instantánea. El correo electrónico o mensaje instantáneo fraudulento contiene un enlace que dirige a la víctima a un sitio web falso donde generalmente ingresan información personal, como una contraseña, sus credenciales de inicio de sesión en el trabajo u otra información de identificación..

Si bien el phishing existía mucho antes de Internet, ¿qué es exactamente el phishing y qué técnicas utilizan los estafadores? ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores? Yo nunca he sido fan de la pesca. Esto se debe principalmente a una expedición temprana en la que mi primo logró capturar dos peces mientras yo atrapaba a la cremallera. Al igual que en la pesca en la vida real, las estafas de phishing no son ... Lea más, nuestra capacidad para interactuar con las redes sociales, conectarnos con las personas a través del correo electrónico y, en general, confiar en sistemas en línea que no entendemos completamente (incluida la banca) ha curado una período de oro para los posibles estafadores. Su toque de Midas continúa con el “Introducción” de las hazañas de vishing y smishing Gone phishing: 5 términos de seguridad que necesita saber Gone phishing: 5 términos de seguridad que necesita saber Internet es un tanque de tiburones; Estás expuesto a amenazas de izquierda y derecha. Necesitas entender los riesgos para protegerte. Aquí le presentamos las cinco amenazas de seguridad en línea más comunes. Lee mas .

Vishing

El phishing de voz, conocido como Vishing, es una técnica de fraude electrónico común que ve un aumento en el uso. Depende en gran medida de la tendencia de la víctima a confiar en la santidad de una línea fija frente a otras plataformas de comunicación, como su teléfono móvil o correo electrónico..

La llamada #Vishing convence a los empleados de Burger King para romper ventanas https://t.co/4AuCqV6t6A

- Social-Engineer, Inc (@SocEngineerInc) 12 de abril de 2016

Un ataque de vishing por lo general tiene el objetivo principal de extraer detalles bancarios u otra información personal importante de la víctima, y ​​generalmente se completa con el marcado automático y el equipo de síntesis de voz. Sin embargo, hay informes crecientes de operadores humanos que presionan a sus víctimas para que se desprendan de sus detalles. Los ataques de vishing suelen ser muy difíciles de rastrear, incluso más con la llegada de servicios de voz sobre IP (VoIP) extremadamente baratos y servicios automatizados.

El Poder Judicial de Maine advierte sobre la estafa de #vishing con estafadores que se hacen pasar por trabajadores de la corte https://t.co/zvtfsgBXWV

- Social-Engineer, Inc (@SocEngineerInc) 13 de abril de 2016

Una técnica de ataque común involucra a la víctima simplemente respondiendo a la llamada de los atacantes. Luego escuchan el discurso que el estafador ha decidido usar, que generalmente incluye una solicitud inmediata que involucra su tarjeta de crédito o una actividad bancaria inusual. A la víctima se le proporciona un número de teléfono falso para llamar.

Una de dos cosas ahora ocurre. Ya sea:

  1. La víctima se reunirá con un sistema de voz automatizado que requiere que ingrese su tarjeta de crédito, tarjeta de débito u otros datos bancarios, junto con sus números de PIN y otros identificadores personales., o
  2. Cuando la víctima inicialmente cuelga el teléfono para hacer una llamada a su banco, el estafador no lo hace. Esto mantiene la línea abierta y conectada al estafador. La víctima puede escuchar un tono de marcación falsificado, seguido del estafador. “respondiendo” el teléfono. Luego actúan como un funcionario bancario, solicitando detalles de la víctima para su uso posterior o para canalizar fondos de una cuenta a una nueva, “seguro” cuenta.

Dependiendo de la estafa y del banco, las víctimas pueden recuperar parte de sus fondos perdidos, pero esto no está garantizado. Algunos bancos, por más crueles que parezcan, rechazan los reclamos de esta naturaleza dado que la víctima ha actuado con “negligencia grave” Al no garantizar su propia seguridad bancaria..

“HSBC se ha negado a reembolsar el dinero, argumentando que se usaron las tarjetas bancarias reales de la pareja (no un clon) y los pines correctos y que, por lo tanto, infringieron los términos y condiciones del banco y fueron extremadamente negligentes.”

Y mientras que la instancia anterior se aplica a las tarjetas bancarias perdidas y robadas, la pérdida monetaria a través del fraude vishing sigue siendo un área gris legal, con los bancos argumentando que parte de la responsabilidad debe recaer sobre la víctima para proteger activamente sus propios intereses, a pesar de los esfuerzos concertados por estafadores.

Smishing

“SMIShing”, el portmanteau de SMS y phishing es el acto de usar mensajes SMS para estafar a un individuo. Las técnicas de smishing son relativamente análogas al phishing y vishing. La víctima recibe un mensaje de texto que pretende ser de una fuente confiable y confiable.

Por lo general, el SMS también contiene un mensaje similar, con atacantes que se hacen pasar como administradores o funcionarios bancarios para enviar una advertencia de una tarjeta de crédito o débito comprometida, una cuenta o una identidad. Luego, se alienta a la víctima a seguir el enlace comprometido o el número de teléfono incluido en el mensaje, donde la víctima revela la información especificada a los estafadores..

Si recibe un mensaje de texto como este, NO llame al número, llame directamente a su banco. #SMiShing #Fraud pic.twitter.com/ZLiYb6PAkw

- Fraude de Northants (@NorthantsFraud) 27 de abril de 2016

Las víctimas de phishing por SMS no siempre están expuestas por una estafa bancaria, como se puede ver en el Tweet anterior. Esa es una muestra de la campaña de Smishing actualmente en curso, tomada de mi ciudad natal. Del mismo modo, en 2012, un gran número de ciudadanos de los EE. UU. Recibió un SMS que contenía texto en las siguientes líneas:

“Estimado comprador de Walmart: Enhorabuena, acaba de ganar una tarjeta de regalo de Walmart de $ 1000. Haga clic aquí para reclamar su regalo. www.fraudulentwebsiteaddress.com (cancelar: STOP)”

Esta estafa utilizó la popularidad de Walmart para atraer a las víctimas a hacer clic en el enlace, donde luego se les hizo una serie de preguntas de identificación personal, que culminaron en una solicitud directa de detalles de la tarjeta de crédito o débito..

Los detalles personales no son siempre el objetivo principal. Algunas campañas de smishing se centran en la instalación de malware en el teléfono de la víctima para un ataque sostenido de recopilación de datos, y prefieren recopilar más información durante un período de tiempo más largo, mientras que la víctima permanece dolorosamente inconsciente.

No te dejes atrapar

Por engañosos y engañosos que son los estafadores, puedes armarte con un puñado de tácticas de mitigación. Todos son ridículamente fáciles de recordar y definitivamente te ahorrarán tiempo, dinero y un montón de energía desperdiciada. Casi todos se aplican a cualquier forma de phishing que puedas encontrar.

  • Verifique y vuelva a verificar el número de la persona que llama, o la fuente del mensaje instantáneo o de texto. Es posible que el número haya sido suplantado. ¿Qué es la suplantación de correo electrónico? Cómo los estafadores falsifican correos electrónicos falsos ¿Qué es la falsificación de correos electrónicos? Cómo los estafadores falsifican correos electrónicos falsos Parece que su cuenta de correo electrónico ha sido pirateada, pero esos mensajes extraños que no envió en realidad se deben a la falsificación de correos electrónicos. Leer más para parecer una fuente oficial.
  • Incluso si el número parece legítimo, cuando se le solicite que devuelva la llamada, siempre use una línea telefónica diferente. Esto evita “sin colgar” estafas Use un número de un extracto bancario reciente o busque en línea el número principal de servicio al cliente de su banco.
  • Nunca dé a cualquiera su información bancaria por teléfono, sin importar cuán insistentes sean. Tu banco no te preguntare para cualquier información de identificación, especialmente no números PIN, los números de seguridad en el reverso de la tarjeta, o incluso su fecha de caducidad.
  • Nunca transferir dinero a otra cuenta a instancias de un llamador aleatorio. Tu banco nunca te preguntare para hacer esto. Del mismo modo, no enviarán un servicio de mensajería a su casa para recoger su libro de cheques. Ninguna institución oficial hará esto, a menos que, tal vez, usted sea arrestado a instancias del IRS..
  • Tenga mucho cuidado con los textos no solicitados de su banco u otro nombre de confianza. A menos que haya acordado previamente con su banco que el contacto por SMS está bien, no ocurrirá.
  • Sea igualmente cauteloso con cualquier enlace incluido en cualquier mensaje SMS. Los enlaces reducidos pueden llevarlo a cualquier parte, y hay pocas formas de saber qué sucederá una vez que se toque o haga clic en ese enlace..

Sobre todo, estar atentos. Si no está seguro, simplemente colgar. Si es un texto no solicitado., ignoralo. Las técnicas de ingeniería social de vishing y smishing se basan en el mismo abuso de confianza que el phishing. Incluso mientras escribía este artículo, recibí este correo electrónico:

Ahora, sé que la dirección de correo electrónico está falsificada. 5 Ejemplos para ayudarlo a detectar un fraude o correo electrónico falso. 5 Ejemplos para ayudarlo a detectar un fraude o correo electrónico falso. El cambio del spam a los ataques de phishing es notable y está en aumento. Si hay que tener en cuenta un único mantra, es este: la defensa número uno contra el phishing es la conciencia. Lee mas . ¿Por qué? Porque solo hay dos personas con direcciones de correo electrónico en esa URL, y una de ellas es mía. El archivo adjunto es también un regalo total..

La tecnología nunca ofrecerá el 100% de disuasión que nos gustaría. Tampoco detectará a los estafadores el 100% del tiempo. La tecnología puede ofrecerle un excelente punto de partida, pero como con casi todo en la vida, a menos que realice su propia diligencia debida y trate de pensar críticamente sobre las comunicaciones entrantes, se está preparando para un momento realmente malo.

¿Has sido víctima de una estafa vishing o smishing? ¿Se dio cuenta de inmediato o solo cuando sus cuentas se vieron comprometidas? ¿Sabes qué buscar ahora? Háganos saber a continuación!

Explorar más sobre: ​​Hacking, Phishing.