Categoría: Biblioteca de Phishing

Biblioteca de Phishing

La suplantación de identidad, también conocida como robo de identidad, es un delito en el que una persona se hace pasar por otra, generalmente con el fin de obtener beneficios fraudulentos o cometer actividades ilegales en nombre de la víctima. Este acto puede ocurrir de diversas maneras, como el robo de documentos personales, el acceso no autorizado a información personal en línea o el uso de tecnologías avanzadas para falsificar identidades.

Qué daños acarrea a las víctimas.

  • Pérdida financiera: Los suplantadores pueden usar la identidad de la víctima para acceder a cuentas bancarias, realizar compras con tarjetas de crédito o solicitar préstamos, lo que puede resultar en grandes pérdidas financieras para la víctima.
  • Daño a la reputación: Si un suplantador comete crímenes o actos vergonzosos usando la identidad de alguien más, la reputación de la víctima puede verse gravemente afectada, tanto en su vida personal como profesional.
  • Problemas legales: Las acciones realizadas por el suplantador en nombre de la víctima pueden llevar a que esta última enfrente problemas legales, como cargos criminales o deudas que no contrajo.
  • Daño emocional: La suplantación de identidad puede causar estrés, ansiedad y otros problemas emocionales significativos para la víctima, especialmente si la situación se prolonga en el tiempo y es difícil de resolver.

Como prevenir

Para prevenir la suplantación de identidad, es importante tomar medidas proactivas, como:

  • Proteger la información personal: No compartir información sensible, como números de seguridad social, contraseñas o detalles de cuentas bancarias, a menos que sea absolutamente necesario y se esté seguro de la seguridad de la comunicación.
  • Utilizar contraseñas seguras: Emplear contraseñas únicas y difíciles de adivinar para cuentas en línea y cambiarlas regularmente. Además, activar la autenticación de dos factores siempre que sea posible.
  • Monitorear regularmente las cuentas financieras: Revisar los extractos bancarios y de tarjetas de crédito con regularidad en busca de actividad sospechosa o no autorizada.
  • Mantener el software actualizado: Actualizar regularmente el software antivirus, los sistemas operativos y las aplicaciones en dispositivos electrónicos para protegerse contra vulnerabilidades de seguridad.
  • Tener precaución en línea: Ser cauteloso al proporcionar información personal en línea, especialmente en sitios web no seguros o correos electrónicos no solicitados.
  • Educar a la familia y amigos: Informar a los seres queridos sobre los riesgos de la suplantación de identidad y cómo pueden protegerse.
  • Denunciar actividades sospechosas: Reportar cualquier actividad sospechosa o intento de suplantación de identidad a las autoridades pertinentes y a las instituciones afectadas, como bancos o proveedores de servicios en línea.

Al tomar estas precauciones y estar atento a posibles signos de suplantación de identidad, se puede reducir significativamente el riesgo de convertirse en víctima de este delito.

Cuáles son las etapas de la suplantación de identidad.

Investigación y recopilación de información

Creación de una fachada creíble

Desarrollo del mensaje de suplantación

Desarrollo del mensaje de suplantación

Envío del mensaje de suplantación

Engaño y manipulación

  • 1. Investigación y recopilación de información: Los ciberdelincuentes investigan a la víctima o a la entidad que desean suplantar. Esto puede incluir la recopilación de información personal, como nombres, direcciones de correo electrónico, números de teléfono y datos públicos disponibles en redes sociales u otros sitios web. 
  • 2. Creación de una fachada creíble: Utilizando la información recopilada en la etapa anterior, los atacantes crean una fachada creíble que les permitirá hacerse pasar por una entidad de confianza. Esto puede incluir la creación de direcciones de correo electrónico falsas, sitios web o perfiles de redes sociales falsos que se asemejen a los de la entidad que están suplantando. 
  • 3. Desarrollo del mensaje de suplantación: Los ciberdelincuentes crean mensajes, como correos electrónicos, mensajes de texto o llamadas telefónicas, diseñados para engañar a la víctima. Estos mensajes suelen incluir detalles específicos y convincentes para hacer que parezcan auténticos y persuadir a la víctima para que tome las acciones deseadas. 
  • 4. Envío del mensaje de suplantación: Una vez que se ha creado el mensaje de suplantación, los ciberdelincuentes lo envían a la víctima. Esto puede realizarse mediante el envío masivo de correos electrónicos a una lista de contactos o mediante mensajes dirigidos a individuos específicos. 
  • 5. Engaño y manipulación: En esta etapa, los ciberdelincuentes utilizan tácticas de engaño y manipulación para persuadir a la víctima de que tome las acciones deseadas. Esto puede incluir el uso de amenazas, incentivos o la creación de un sentido de urgencia para inducir a la víctima a proporcionar información personal o realizar acciones específicas. 

El Smishing es el tipo de fraude cibernético que utiliza mensajes de texto para engañar a las personas para que revelen información personal o financiera.

Cómo funciona el Smishing

  • El Smishing es una forma de phishing que se realiza a través de mensajes de texto.
  • Los ciberdelincuentes envían mensajes de texto que parecen provenir de una organización legítima, como un banco, una compañía de tarjetas de crédito o una tienda o empresa de correo.
  • Los mensajes a menudo afirman que hay un problema con tu cuenta o que necesitas tomar medidas inmediatas.
  • Te pueden pedir que hagas clic en un enlace, llames a un número de teléfono o respondas al mensaje con tu información personal.

Nota: El Smishing es una forma efectiva de fraude porque los mensajes de texto son personales y se pueden leer rápidamente. Además, muchas personas no están familiarizadas con el Smishing y no saben cómo identificarlo.

Como identificar un Smishing.

Hay algunas señales que te pueden ayudar a identificar un mensaje de Smishing:

  • El mensaje es inesperado.
  • El mensaje tiene un premio que ganaste, pero te pide que verifiques tu identidad.
  • El mensaje te solicita información que está incompleta.
  • El mensaje te pide que hagas clic en un enlace o llames a un número de teléfono que no reconoces.
  • El mensaje te pide que reveles información personal o financiera.

Si no estás seguro de si un mensaje de texto es legítimo, lo mejor es que te pongas en contacto directamente con la organización que supuestamente lo envió. Puedes encontrar la información de contacto en el sitio web de la organización o en el reverso de tu estado de cuenta.

Qué puedes hacer para protegerte

Para protegerte del smishing, aquí tienes algunas medidas que puedes tomar:

  1. Mantente alerta: Sé escéptico ante los mensajes de texto no solicitados, especialmente aquellos que solicitan información personal o financiera.
  2. Verifica la fuente: Antes de responder a un mensaje de texto o hacer clic en un enlace, verifica la autenticidad del remitente. Si el mensaje parece ser de una empresa o institución, verifica su legitimidad contactándolos directamente a través de fuentes confiables, como su sitio web oficial o números de teléfono conocidos.
  3. No hagas clic en enlaces sospechosos: Evita hacer clic en enlaces incluidos en mensajes de texto que parezcan sospechosos o que provengan de remitentes desconocidos. Estos enlaces podrían dirigirte a sitios web fraudulentos diseñados para robar información personal.
  4. No compartas información personal: Nunca proporciones información personal, financiera o confidencial a través de mensajes de texto no solicitados. Las instituciones legítimas nunca solicitarán este tipo de información a través de mensajes de texto no seguros.
  5. Utiliza medidas de seguridad adicionales: Considera utilizar aplicaciones o servicios de seguridad móvil que puedan ayudar a identificar y bloquear mensajes de texto sospechosos o fraudulentos.
  6. Mantén tus dispositivos actualizados: Asegúrate de mantener actualizado el software de tus dispositivos móviles, ya que las actualizaciones a menudo incluyen parches de seguridad que pueden protegerte contra amenazas conocidas, incluido el smishing.
  7. Reporta los intentos de smishing: Si recibes un mensaje de texto sospechoso o crees que has sido blanco de un intento de smishing, reporta el incidente a tu proveedor de servicios móviles y a las autoridades correspondientes. Esto puede ayudar a prevenir que otros sean víctimas de la misma estafa.

Al seguir estas medidas de seguridad, puedes reducir significativamente el riesgo de caer en una estafa de smishing y proteger tu información personal y financiera.

El Vishing simplemente es el Phishing de VOZ, en estos casos el atacante o estafador lleva adelante el engaño a partir de una llamada telefónica, con el fin de que la víctima revele información confidencial propia o de su organización.

Según Wikipedia: Vishing es una práctica fraudulenta que consiste en el uso de la línea robo convencional y de la ingeniería social para engañar a personas y obtener información delicada, como puede ser información financiera o información útil para el telefónica de identidad. El término es una combinación del inglés “voice” (voz) y phishing.1

Como se lleva adelante un ataque por Vishing.

El atacante en la actualidad utiliza tecnologías de centrales de voz por IP para automatizar sus mensajes y así hacerse pasar por una compañía de renombre, aprovechan estas herramientas para poder masificar sus ataques, hasta lograr que alguien muerda el anzuelo.

Se hacen pasar por una compañía de servicios, haciéndote llegar ofertas tentadoras por tiempo limitado y así van recolectando información de las víctimas.

Para luego utilizar esta información y perpetrar distintos ataques.

Otro ejemplo de Vishing puede ser llamados para verificar consumos de las tarjetas de crédito, donde lo llevan al usuario en una situación de pánico, informando gastos de consumos muy altos y creando una escena de urgencia donde le piden que no corte el llamado porque no tienen posibilidad de volver a llamarlos y que solo necesitan validar sus datos para anular la compra. Si lo analizas detenidamente hasta este punto los ciberdelincuentes no tenían nada y la víctima está a punto de darles toda la información.

Recomendaciones para no ser víctima de Vishing.

  • 1- Evita publicar datos personales.
  • 2 – Ante una situación de Vishing mantén la calma, analiza la situación y no entres en el juego que los ciberdelincuentes, corta la comunicación y llama tú a los canales oficiales pertinentes.
  • 3 – No compartas información confidencial por teléfono, los bancos o entidades financieras reales no te pedirán información sensible de coordenadas, contraseñas, token, ni PIN.
  • 4 – Capacítate, mantente informado y comparte este post con tus seres queridos para que no les pase.

El “scareware” es un término que se refiere a software malicioso diseñado para asustar a los usuarios y persuadirlos para que realicen acciones no deseadas, como comprar software falso o proporcionar información personal. Este tipo de software a menudo se presenta en forma de alertas emergentes o ventanas pop-up que afirman haber detectado problemas graves en el sistema de la computadora del usuario, como infecciones por virus o problemas de seguridad.

El objetivo principal del scareware es inducir al usuario a realizar una acción impulsiva, como descargar un programa antivirus falso o llamar a un número de soporte técnico fraudulento, generalmente con la promesa de resolver el problema detectado. Sin embargo, en realidad, estos programas suelen ser fraudulentos y pueden infectar la computadora con malware genuino o robar información personal del usuario.

En resumen, el Scareware explota el miedo y la urgencia del usuario para realizar acciones que benefician a los creadores del software malicioso, a menudo a expensas del usuario y su seguridad digital.

A continuacion una imagen clasica de Scareware

https://www.instagram.com/p/C4OPQe6ObMG/?img_index=1

Que es Phishing. 

De acuerdo de la enciclopedia libre Wikipedia: 

Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo, revelar información confidencial o hacer clic en un enlace) 

Hay distintos tipos de Phishing que se clasifican de acuerdo a la operatoria, pero siempre el fin consiste en engañar al usuario para robarle información confidencial, claves de acceso, etc. 

Phishing tradicional  Llega por email que parecen ser legítimos y traen links para que usuario haga clic y solicitan información o descargan malware. 
Phishing personalizado  Ídem al anterior pero los atacantes personalizan los emails con el agregado de información proveniente de la ingeniería social y pare ser más convincentes.   
Baiting Los atacantes ofrecen premios o descargas gratuitas para alentar a sus víctimas a hacer clic en las descargas o entregar información confidencial  
Smishing Es el intento de fraude a través de un mensaje de texto en el teléfono móvil (SMS), que pretende obtener información personal, profesional o financiera. Normalmente te pedirán hacer clic en algún enlace web o llamar a un teléfono para “verificar, “actualizar” o “reactivar” algún servicio.  
Phishing de voz o vishing Se desarrolla a partir de una llamada telefónica, donde pueden hacerse pasar por una compañía de servicios solicitando información o en otros casos de secuestros virtuales  
Suplantación  Los atacantes se hacen pasar por otra persona ya sea en línea o por mensajes (WhatsApp) solicitan dinero de préstamo haciéndose pasar por un amigo. 
Programas de secuestros y extorsión  Los atacantes amenazan con revelar información delicada para perturbar e infunden miedo para coaccionar a la victima