Seguridad y Privacidad
6 abr 2021
|
Lectura breve
Detectando una estafa de phishing relacionada con la vacuna: ¿puedes encontrar las señales de alerta?
Muchos de nosotros hemos visto estafas relacionadas con COVID llegar a nuestras bandejas de entrada. No es un secreto que los estafadores intentan aprovecharse de momentos de pánico e incertidumbre, cuando las personas son más vulnerables, para robar información personal.
Hoy, con el rápido desarrollo y distribución de las vacunas contra COVID, muchos estadounidenses están ingresando en línea y compartiendo información personal para unirse a listas de espera y reservar citas antes de que se llenen los espacios. Los estafadores están adaptando sus tácticas para aprovechar este entusiasmo. Mientras esperamos ansiosamente nuestras actualizaciones y confirmaciones de vacunas por correo electrónico, puede ser difícil diferenciar entre un correo electrónico legítimo y un intento de phishing.
La mejor manera de protegerte de los malos actores es aprendiendo a reconocer las señales de advertencia. Conocer las señales de advertencia de antemano te hará menos propenso a hacer clic en ese convincente correo electrónico. Los miembros de la junta de National Cybersecurity Alliance, Cofense y Mimecast, capturaron ejemplos reales de intentos de phishing, como se ve a continuación. Pon a prueba tu conocimiento y ve si puedes encontrar las señales de una estafa en estas imágenes.
Esta captura de pantalla, capturada por Mimecast, muestra un intento de phishing típico. ¿Cuántas señales de advertencia puedes encontrar? Sigue desplazándote para ver si las has encontrado todas.
Varias señales de advertencia de un intento de phishing se pueden encontrar en este correo electrónico:
Línea de Asunto – Observa el uso de todas las letras mayúsculas y los signos de exclamación. La redacción y el formato se utilizan para crear una sensación de urgencia, tratando de hacer que hagas clic en el correo electrónico en pánico, rápidamente y sin pensar.
Imitando una fuente confiable – Este phishing, probablemente enviado a los empleados de una empresa, pretende provenir del departamento de recursos humanos. Los malos actores fingirán ser personas o grupos que ya puedes conocer para ganarse tu confianza. Si no estás seguro de si un correo electrónico realmente provino de alguien, comunícate o llama a esa persona directamente para verificar.
Errores y faltas de ortografía – Se puede ver una mala gramática en todo el cuerpo del correo electrónico, así como mayúsculas aleatorias de ciertas palabras como “Vacunado”. Se esperaría que un correo electrónico proveniente del departamento de recursos humanos de una organización utilizara una redacción y gramática apropiadas. La combinación de formato extraño, letras mayúsculas y gramática singular hace parecer este correo electrónico “sospechoso”.
Hipervínculos – El contenido del correo electrónico intenta llevar al destinatario a hacer clic en el hipervínculo en la parte inferior del correo electrónico. Siempre ten cuidado al hacer clic en enlaces (y adjuntos) en correos electrónicos, ya que pueden dirigirte a un sitio fraudulento.
Mimecast sugiere los siguientes consejos para evitar estafas:
Sé proactivo. Ve directamente al sitio web de tu gobierno local/hospital para verificar los hechos y obtener la información correcta.
Sé sospechoso de correos electrónicos, llamadas telefónicas o mensajes de personas que no conoces, tratando de atraer tu atención con actualizaciones sobre las vacunas.
Siempre revisa las URLs. Los hackers están creando sitios que parecen instituciones de salud oficiales y proveedores de vacunas. Navega directamente a sitios web oficiales como CDC.gov y el sitio web oficial de tu estado/ciudad.
Usa contraseñas fuertes y únicas para todas tus cuentas al registrarte para una cuenta y usa MFA/2FA siempre que sea posible.
No te conectes a redes que no reconozcas. Investiga la información de vacunas en tu red WiFi segura en casa, que debería estar protegida por una contraseña fuerte.
Sé extremadamente cauteloso si estás usando un dispositivo propiedad de la empresa. Los actores de amenazas buscan acceso a la organización para la que trabajas, con la intención de robar datos.
Asegúrate de que tu dispositivo tenga las actualizaciones y parches más actuales.
Estate atento a los intentos de Vishing – Sé muy sospechoso de cualquier persona que te llame pidiéndote que compartas información de inicio de sesión por teléfono. Una buena regla para detectar intentos de vishing y phishing es detenerse y preguntarse si esperabas la llamada o el mensaje. Si no es así, contacta directamente a la compañía para verificar si el mensaje o la llamada es, de hecho, real.
El siguiente intento de phishing, capturado por Cofense, es un poco más detallado, pero todavía contiene muchas señales de advertencia:
Señales de advertencia en este intento de phishing:
Línea de asunto – Nuevamente, nota el uso de todas las letras mayúsculas y la frase “información muy importante” intentando hacer que el destinatario haga clic en el correo electrónico sin pensar.
Enlace de encuesta – La URL está suplantando la plataforma popular de encuestas SurveyMonkey, pero nota el deletreo incorrecto y la falta de un dominio de nivel superior (el segmento que generalmente sigue al nombre de dominio, como .com o .org)
Hipervínculo de encuesta – La caja adyacente al enlace aparece cuando pasas el cursor sobre una URL. Al pasar el cursor sobre una URL te mostrará el destino real del hipervínculo. El destino puede no coincidir con el texto en el correo electrónico, como se ve en este ejemplo. Esta es una señal importante de que alguien está tratando de redirigirte a un sitio no seguro.
Errores y faltas de ortografía – Este phishing tiene mejor gramática que el anterior, pero errores como “Survey’s” y la capitalización de “Today” muestran que algo en el correo electrónico es “sospechoso”.
Imitando una fuente confiable – Nuevamente, este estafador finge ser un miembro del departamento de recursos humanos de una organización. Sin embargo, este remitente es un poco más detallado que el anterior. Han incluido un nombre y título específico: “Dawn, Directora de Recursos Humanos”, haciendo que parezca más probable que este correo electrónico provenga de un remitente legítimo.
Muchos correos electrónicos, mensajes de texto y llamadas telefónicas están utilizando mensajes más sofisticados, con señales de advertencia cada vez menos obvias. Recuerda leer los mensajes con cuidado. Siempre es importante reducir la velocidad, verificar el remitente y preguntarte si esperabas el mensaje o la llamada en cuestión.
Confense sugiere los siguientes consejos para protegerte contra el phishing:
Valida la fuente del correo electrónico contra sitios web oficiales del gobierno (por ejemplo, CDC, OMS o los sitios web del departamento de salud de la ciudad y el estado local).
Si el remitente es alguien con quien normalmente interactúas pero el mensaje parece ‘extraño’, valida con ellos a través de otro canal (teléfono, mensaje de texto o nuevo mensaje de correo electrónico). Es posible que su cuenta esté comprometida.
Nunca reveles tu información personal a fuentes no confiables, incluyendo tu nombre de usuario y contraseña.
Crea nombres de usuario y contraseñas únicos por sitio web y / o aplicaciones. Muchos sitios web y aplicaciones ahora te permiten crear un nombre de usuario que no es tu dirección de correo electrónico.
Configura una bóveda de contraseñas para almacenar todos estos inicios de sesión únicos. Crea el hábito de abrir la bóveda cada vez que estés creando un nuevo inicio de sesión para un sitio web o aplicación.
Habilita la Autenticación Multifactor (MFA o 2FA) para cualquier sitio web o aplicación que tenga la capacidad. Si tu información de inicio de sesión se obtiene de una filtración de datos, esta es un nivel adicional de protección.
Si se te notifica de una filtración de datos que afecta tu información de inicio de sesión, cámbiala inmediatamente y actualiza tu bóveda.
Recursos adicionales:
Episodio 4 de Concienciación sobre Seguridad: Phishing y Ransomware, de NCSA, Adobe y Speechless Inc
Pon a prueba tus conocimientos sobre phishing, prueba el Quiz de Phishing de Google
El blog y centro de recursos gratuitos de Cofense
El blog y centro de recursos de Mimecast
Informe de Mimecast, “El Año del Distanciamiento Social”, sobre los desafíos de seguridad del nuevo espacio de trabajo digital.
Artículos Destacados
Etiquetas