MacBook Pro por un 1 euro y otras trampas del phishing
Damos por finiquitado un 2019 muy activo en cuanto a amenazas para los usuarios, y empieza un 2020 con varias campañas de phishing activas que permiten augurar la misma tendencia en el crecimiento de los ataques de phishing que intentan engañar a los usuarios para robarles sus credenciales de acceso a determinados servicios y datos bancarios.
El phishing es una de las formas de ataque informático más habituales y virales, ya que ha encontrado en las apps de mensajería y redes sociales el caldo de cultivo perfecto para expandirse a lo largo y ancho de red pudiendo llegar a más público.
En Navidad, cuando las tiendas online se encuentran en su máximo apogeo con grandes ofertas y compras navideñas y los servicios logísticos funcionan a un nivel frenético, es el momento en el que los ataques de phishing encuentran el terreno abonado para confundir a los usuarios y hacerles creer que está obteniendo una ganga, cuando en realidad están entregando sus datos personales y bancarios a los ciberdelincuentes.
¿Quién no quiere un MacBook Pro por solo 1 euro?
Suena tentador ¿verdad? Quién podría resistirse a un correo en el que se indica que te han enviado un portátil de alta gama, del cual solo tendrás que pagar 1 euro en concepto de gastos de envío.
Las campañas de phishing acostumbran a usar este tipo de ganchos en los que se combinan distintas técnicas de ingeniería social para llamar la atención de los usuarios e incitarles a pulsar un determinado enlace que les llevarán a una página externa en la que se suplanta la identidad de una empresa de mensajería, de un banco, un supermercado o empresas de servicio de vídeo a demanda.
Las técnicas para hacer creer al usuario que se trata de un correo legítimo se han depurado mucho durante los últimos años y se utilizan sofisticadas técnicas de suplantación como los homoglifos para engañar al usuario.
Ahora los textos se encuentran perfectamente traducidos, se incluyen determinados ganchos como la ubicación o el nombre del usuario para dar una pátina de legitimidad al engaño e incluso se modifica la URL de la página a la que se redirige para hacer creer al usuario que se encuentra en la página legítima del servicio.
Teniendo en cuenta que las campañas de phishing actuales han sido diseñadas para engañar visualmente incluso a los usuarios más avanzados y que no todos los receptores de estos correos maliciosos disponen de los conocimientos técnicos necesarios para desenmascarar una URL falseada, siempre nos queda el recurso de usar la lógica y el sentido común para hacer saltar todas las alarmas ante lo atípico de las situaciones planteadas.
Es por ello que, antes de hacer clic en los enlaces que incluyen estos correos maliciosos y caer en los engaños de los ciberdelincuentes, debemos pararnos a pensar que, si es demasiado bueno como para ser cierto, es que tal vez es mentira.
Análisis de un correo malicioso
Según el último barómetro de amenazas elaborado por el laboratorio de ESET, el mayor fabricante de software de seguridad de la Unión Europea, el phishing termina el año posicionándose como una de las amenazas informáticas más destacadas en 2019 y comienza el año con la misma tendencia.
Por lo tanto, no sería extraño que, si no cuentas con un sistema de protección antiphishing integrado en el software de seguridad de tu ordenador, puedas terminar en una estas páginas que suplantan la identidad de empresas y servicios legítimos.
Vamos a hacer un breve análisis de uno de estos correos maliciosos que pertenecen a algunas de las campañas de phishing que actualmente están muy activas en España. Tomamos por ejemplo el correo de la campaña que promete entregarte un MacBook Pro, valorado en varios miles de euros, por solo un euro.
La excusa que utiliza este correo es la supuesta entrega por parte de una empresa logística de un paquete que contiene un MacBook Pro proveniente de Estados Unidos, por el que tendrás que pagar 1 euro en concepto de gastos de envío.
Para entregártelo, la empresa necesita conocer tu dirección y demás datos personales, así como los datos de tu tarjeta de crédito para hacer el cargo de 1 euro por los gastos de envío.
Una de las cosas que llaman la atención es que en el encabezado indica la fecha de hace más de un año y medio, momento en el que probablemente se inició esta campaña de phishing.
También destaca por incluir solo la información justa como para despertar la curiosidad del usuario, y forzarlo a hacer clic en el enlace malicioso si quiere obtener más información al respecto.
Al pulsar sobre el botón Continuar para obtener más información nos lleva a una página externa de apariencia sencilla en la que se confirma el supuesto número de pedido y se invita al usuario a continuar.
Para apaciguar las sospechas de los usuarios más avispados, observa que en la barra del navegador se muestra que nos encontramos en una página segura como así indica el candado verde a la izquierda, aportando una falsa sensación de seguridad.
Cabe destacar que este icono con el candado verde no indica que la página sea legítima, sino que las comunicaciones entre tu ordenador y la página están cifradas, pero la página continúa siendo la plataforma fraudulenta desde la que se engañará al usuario para que él mismo entregue sus datos a los ciberdelincuentes.
En este caso se trata de una supuesta empresa logística inventada, pero los ciberdelincuentes tampoco ponen reparos al clonar el diseño de otras empresas de mensajería más conocidas, lo cual incrementa más el riesgo de caer en su trampa.
El siguiente paso del proceso es clave para el engaño, ya que pone al usuario el caramelo en la boca mostrando que su MacBook Pro está listo para ser entregado y el único requisito previo es confirmar los datos de entrega rellenando un formulario.
Antes de empezar a escribir tus datos debería usarse el sentido común y la lógica: si no tienen mis datos de envío, ¿cómo ha llegado el paquete desde Estados Unidos hasta una oficina cercana a mi domicilio?
La apariencia de fiabilidad se utiliza constantemente en este tipo de campañas de phishing, para que el usuario relaje su nivel de alerta. Lo hemos visto al mostrar un candado verde en la barra de direcciones indicando que es una conexión segura, y lo volvemos a ver en el formulario con el que se roban los datos de la tarjeta de crédito en la que supuestamente cobrarán el euro por los gastos de envío.
En este apartado se hace énfasis en la seguridad del proceso indicando que es una comunicación segura, aunque el verdadero riesgo son los ciberdelincuentes que recibirán esos datos.
Este mismo procedimiento de estafa a los usuarios puede encontrarse en otras campañas de phishing muy activas en este comienzo de 2020, como las que suplantan la identidad de empresas legítimas como Carrefour, Amazon, Correos o Netflix.
Déjate ayudar con el phishing
Como si se tratara de un truco de magia, algunas de las técnicas más sofisticadas de phishing que se están usando en la actualidad consiguen mostrar al usuario una serie de indicativos capaces de engañar incluso al ojo más experto, de forma que realmente no puedes creer en lo que están viendo tus ojos.
Para descubrir el truco es necesario mirar tras el telón y ver los hilos que se mueven por detrás. Esto es complicado para un usuario, por lo que contar con una herramienta de seguridad antiphishing capaz de analizar las amenazas que se ocultan a la vista del usuario puede salvarte de muchas situaciones comprometidas.
Estas soluciones antiphishing monitorizan las páginas que visita el usuario, y si detectan componentes peligrosos o conexiones sospechosas, bloquean la página manteniendo al usuario a salvo.
Estas herramientas de seguridad integradas en el software antivirus blindan el envío de la información bancaria aislando el formulario en una nueva instancia segura del navegador, en la que se han deshabilitado los componentes que podrían considerarse inseguros.
En cualquier caso, la primera línea en la defensa contra el phishing es el sentido común del usuario. Este debe ser consciente de que los bancos y servicios online nunca solicitan información privada a través del correo electrónico, sino que lo hacen directamente desde sus plataformas.
Por ello, ante la sospecha de que un correo pueda ser legítimo, es recomendable abrir una nueva instancia del navegador y acceder a la página del servicio desde él, nunca desde el enlace que se incluye en el correo, evitando así caer en la trampa del phishing.
Conoce cómo trabajamos en ComputerHoy.