¿Ha detectado estos ataques comunes de phishing en las redes sociales?
El phishing en las redes sociales es una forma de ciberataque que utiliza sitios de redes sociales en lugar de correos electrónicos. Aunque el canal es diferente, el objetivo es el mismo: engañarlo para que proporcione su información personal o descargue un archivo malicioso.
Las redes sociales son las favoritas de los ciberdelincuentes porque no hay escasez de víctimas. Y debido al entorno de confianza, existe una mina de oro de datos privados que pueden utilizar para lanzar un ataque de seguimiento de spear-phishing.
Así es como lo están haciendo en algunas de las plataformas más populares.
Facebook es la tercera marca más comúnmente suplantada para ataques de phishing. Con más de 2.600 millones de usuarios en todo el mundo, es fácil ver por qué. La plataforma ofrece una gran cantidad de perfiles y mensajes repletos de información personal para que los phishers la aprovechen.
Los ataques a Facebook suelen estar dirigidos a los consumidores y no tanto a las grandes organizaciones. Los phishers utilizan la ingeniería social para atraer a víctimas desprevenidas a exponer sus datos.
Fingirán ser de Facebook y enviarán correos electrónicos a los usuarios sobre una alerta de seguridad, por ejemplo. A partir de ahí, se indica a los usuarios que inicien sesión en sus perfiles de Facebook y cambien su contraseña. Luego se envían a una página de inicio de sesión de Facebook falsa donde se recopilan sus credenciales.
Cómo se dirige el phishing a tus amigos
Si obtienen acceso a su cuenta, pueden lanzar una red más amplia victimizando a sus contactos. También pueden usar la información que tus amigos comparten contigo en una campaña de spear-phishing más específica.
Los phishers usarán su cuenta para enviar mensajes o publicar un estado con un enlace malicioso. Y debido a que sus contactos confían en usted, existe una mayor posibilidad de que hagan clic en él.
¿Qué es el pescador de phishing?
Este es un tipo de phishing que usa las redes sociales pero tiene un modus operandi más sofisticado. Se dirigen a los usuarios que publican (en su mayoría, peroratas) sobre un servicio o su cuenta. Los atacantes fingen ser del proveedor de servicios y luego envían al usuario un enlace para ponerse en contacto con un representante de servicio al cliente.
Pero lo adivinó: el enlace conduce a un sitio falso para recopilar información.
Lo que solía ser una galería de selfies ahora es un negocio multimillonario utilizado por las marcas e influencers más importantes del mundo.
Al igual que los phishers en Facebook, aquellos que explotan Instagram envían correos electrónicos a los usuarios advirtiéndoles de una alerta de seguridad. Por ejemplo, podría ser un mensaje sobre un intento de inicio de sesión desde un dispositivo desconocido. El correo electrónico tiene un enlace que envía a los usuarios a un sitio falso donde se recopila la información de inicio de sesión.
Una vez que tengan acceso, tendrán una mina de oro de información personal para explotar de diferentes maneras. Un ataque siniestro, por ejemplo, implica chantajearlo a usted oa sus amigos con la amenaza de filtrar fotos que compartió en forma privada oa través de Instagram Direct Messenger (IGdm) si no cede a sus demandas.
¿Qué es una estafa por infracción de derechos de autor?
Si los phishers se apoderan de cuentas comerciales, especialmente las verificadas, pueden lanzar campañas de phishing más insidiosas a través de IGdm.
Los usuarios informaron en junio de 2020 de una cuenta verificada para la sucursal de una importante corporación en Chile, por ejemplo, por enviar mensajes de phishing.
El mensaje alertó a los usuarios de una violación de derechos de autor en una publicación. El resto del mensaje decía: “Si cree que la infracción de los derechos de autor es incorrecta, debe proporcionar comentarios. De lo contrario, su cuenta se cerrará en 24 horas ". El enlace para los comentarios era, por supuesto, una página falsa de Instagram que recopilaba información de inicio de sesión.
¿Qué es una estafa de insignia azul?
Nada se siente tan legítimo como tener ese codiciado cheque azul. Los phishers también se aprovechan de esto.
Una estafa de phishing de Instagram implica enviar a los usuarios un correo electrónico ofreciéndoles una insignia certificada. Una vez que los usuarios hacen clic en el botón "Verificar cuenta", son llevados a una página de phishing donde se recopilará su información personal. La mayoría de las veces, los influencers y los usuarios "famosos de Instagram" son el objetivo de este tipo de ataque.
Consulte nuestra guía sobre cómo obtener la verificación en Instagram para evitar a esos estafadores.
La plataforma principal de la comunidad empresarial mundial utilizada por más de 700 millones de profesionales es también un objetivo favorito de los phishers.
La gente confía en LinkedIn más que en cualquier otro sitio de redes sociales según un informe de confianza digital . También es más probable que los usuarios publiquen detalles sobre sus trabajos, lo que los convierte en un objetivo principal para los ataques de spear phishing y balleneros.
Cómo los reclutadores falsos engañan a los usuarios de LinkedIn
Una de las campañas de phishing en las redes sociales más crueles es un ataque dirigido a personas que buscan empleo en LinkedIn. Los ciberdelincuentes se hacen pasar por un reclutador y se comunican con los usuarios sobre una publicación de trabajo falsa a través de LinkedIn Messaging.
Los phishers te atraen diciendo que tu experiencia es perfecta para el rol que están tratando de desempeñar. Harán que esto sea aún más irresistible con un paquete de compensación aumentado.
Verá un enlace que, según el phisher, tiene todos los detalles sobre el trabajo. Alternativamente, pueden enviar un archivo adjunto en Microsoft Word o Adobe PDF para descargar.
Suena emocionante, especialmente para alguien que busca empleo. Pero los enlaces lo llevan a una página de destino falsificada y el archivo de Word tiene macros para lanzar malware. Este último podría robar sus datos o abrir una puerta trasera a su sistema.
¿Ha recibido solicitudes de contacto falsas?
Hay dos solicitudes de contacto falsas más comunes. En el primero, los usuarios reciben un correo electrónico que les alerta sobre una solicitud de contacto. Esto viene con un enlace que conduce a una página de inicio de sesión de LinkedIn falsa.
El segundo es más complicado: implica la creación de cuentas falsas y el envío de solicitudes de conexión desde LinkedIn. Una vez que acepte la invitación, los phishers tendrán acceso a más información en su perfil y estarán un paso más cerca de todas sus conexiones.
A continuación, pueden enviar un mensaje de phishing o utilizar su información para lanzar ataques más específicos a sus contactos. Ser su contacto de primer grado también les da más credibilidad al hacer que su perfil parezca más legítimo.
Cómo protegerse del phishing en las redes sociales
Todos tengan cuidado con la información que publican en las redes sociales. Apodos, maestros, colores favoritos, escuelas, fecha de nacimiento, ciudad natal, mascotas son preguntas en una prueba de contraseña olvidada. Sé que las publicaciones en cadena son geniales y todo excepto el phishing es una cosa. A los estafadores les encantan las redes sociales por esto. Cuidate.
– MELISSA MEDINA (@melissamedinavo) 10 de noviembre de 2020
Para protegerse de este tipo de ataques, no haga clic en enlaces dentro de correos electrónicos y mensajes directos. Vuelva a verificar la fuente. Incluso si parece que el mensaje es de alguien en quien confía, existe la posibilidad de que su cuenta haya sido comprometida.
Llame primero a la persona para asegurarse de que sea real, especialmente si el mensaje contiene archivos adjuntos que se le pide que descargue.
Compruebe siempre la URL de los sitios web que visita. Los piratas informáticos producen URL falsificadas cambiando una o más letras de la URL de sitios web conocidos. También pueden usar letras simbólicas para parecerse a las letras originales. Pasa el cursor sobre los enlaces para examinar la URL completa, que debería aparecer en la parte inferior de tu navegador.
Recuerde que la correspondencia oficial de las redes sociales y otras organizaciones nunca vendrá de nadie que utilice direcciones de correo electrónico con nombres de dominio @gmail o @yahoo.
Otros signos reveladores a tener en cuenta son los errores tipográficos y gramaticales o los mensajes que lo apresuran a tomar medidas. Este último está diseñado para causar miedo o pánico, por lo que no tendrá tiempo para pensar.
Las redes sociales también ponen en riesgo a sus seres queridos
Si se expone a ataques de phishing en las redes sociales, corre el riesgo de sus amigos y seres queridos, ya que los piratas informáticos pueden usar su cuenta como puerta de entrada para llegar a ellos también.
Afortunadamente, un poco de precaución y sentido común ayudan mucho a protegerse.