Los bloqueos de COVID-19, el trabajo desde casa y el período previo a la temporada festiva han impulsado un aumento sin precedentes en las compras en línea y una oportunidad perfecta para los ataques de phishing.
Gracias a COVID-19 y los cierres, 2020 se ha convertido en el mejor año para las compras en línea. Ya nos encantaban las compras en línea, sin multitudes, sin viajes, sin complicaciones, pero este año la conveniencia fue superada por la practicidad como principal beneficio. Viviendo encerrados y pasando por períodos de autoaislamiento, sin compras no esenciales y muchas tiendas cerradas debido a problemas de personal, las compras en línea se convirtieron en un salvavidas para muchos.
Amazon ha informado que sus ingresos del tercer trimestre fueron de 96,15 mil millones de dólares, un aumento del 37 por ciento. Está pronosticando ingresos de USD 112 mil millones a USD 121 mil millones para el cuarto trimestre. A medida que nos acercamos a la temporada navideña, las ventas en línea se dispararán una vez más. Amazon informa que las compras navideñas ya están en marcha en noviembre.
Por supuesto, las compras en línea son mucho más que solo Amazon, pero son un criterio útil para demostrar las tendencias. Muchos consumidores todavía tienen demasiado miedo para comprar en la tienda. Están alarmados ante la idea de multitudes, no creen que se observarán las pautas de distanciamiento social y sospechan que muchos no usarán máscaras. Es mucho más fácil comprar desde casa.
Si eres de los que no trabaja desde casa, puedes realizar pedidos online y recibir tu mercancía en tu lugar de trabajo. Si no está allí para firmar, uno de sus compañeros lo firmará y se encargará de su entrega.
Ese es el único inconveniente de comprar en línea. La entrega.
Ansiedad de parto
CONTENIDOS DE LA PAGINA
En algún momento, los millones y millones de compras online tienen que salir de los mundos digitales y materializarse en el mundo físico. Eso solo ocurre cuando llega su pedido. Esperar un parto puede ser estresante. Sobre todo si se trata de una entrega importante. Puede que no sea porque el artículo sea caro, simplemente podría ser que estás contando con que ese artículo se te entregue a tiempo para que lo envuelvas y se lo entregues al destinatario en su cumpleaños, aniversario o algún otro inmueble inamovible. fecha límite.
Es fácil sentir una creciente inquietud cuando espera una entrega. Va a ser tarde? ¿Se ha enviado a la dirección incorrecta o hubo una confusión y aún no se ha enviado? ¿Ha habido algún retraso debido a la liquidación de pagos?
Y ahí es donde nuestros actores de amenazas oportunistas y estacionales entran en escena. Con millones de ventas en línea, hay millones de entregas. Son muchas las personas que no se sorprenderían demasiado de recibir un correo electrónico sobre su entrega. Entonces, los actores de amenazas aprovechan esa expectativa y envían a tantas personas como pueden un correo electrónico que es un lobo con piel de oveja.
Correos electrónicos de phishing
Los correos electrónicos de phishing son correos electrónicos fraudulentos que parecen haber sido enviados por una entidad reconocida o confiable, como un banco, una empresa o una plataforma de pago en línea. Los ataques más sofisticados requieren grandes esfuerzos para crear un correo electrónico con la misma apariencia que tendría un correo electrónico genuino. Quieren que tenga el tono adecuado, la librea adecuada y sea persuasivo. Quieren que el destinatario crea que el correo electrónico es genuino y que haga clic en un enlace o abra un archivo adjunto.
El enlace conduce a un sitio web falso que intentará recolectar credenciales de inicio de sesión o infectar su computadora con malware. Si hay un archivo adjunto, contendrá malware, generalmente en forma de un pequeño cuentagotas o programa de descarga. Esto se instalará en segundo plano y luego descargará el malware más grande y dañino, tal vez un troyano de acceso remoto (RAT) o una de las muchas amenazas de ransomware.
Los actores de amenazas reaccionan muy rápidamente a las tendencias. Pueden volver a pelar una estafa existente y sacarla a la luz con los colores de esta temporada en muy poco tiempo. La manera más fácil de disfrazarlos es hacer que parezcan que vienen de un mensajero, porque saben que millones de personas están esperando una entrega. También puede parecer que provienen de un servicio de pago como PayPal y afirman que hay un problema con su pago. Pero no todo el mundo usa PayPal. Y si no lo hace, sabrá de inmediato que se trata de una estafa. Pero si está esperando una entrega, sabe que habrá un mensajero involucrado.
Aprovechando el fenómeno de la ansiedad de entrega generalizada, los actores de amenazas esperan que el destinatario promedio vea un correo electrónico sobre su entrega, dé un suspiro mental de «¡Oh, no!», Luego haga clic en el enlace o abra el archivo adjunto sin detenerse. para comprobar, o incluso considerar, que el correo electrónico puede no ser auténtico. Y así, la ansiedad por la entrega anula la higiene cibernética básica.
Aliado al phishing está smishing, que es phishing por mensaje de texto SMS. Debido a que los mensajes de texto son un medio breve y conciso, no es necesario considerar la apariencia del mensaje. Un SMS parece un SMS sin importar quién lo envíe. Los actores de amenazas no necesitan preocuparse por encontrar la fuente, el logotipo, la voz y el tono correctos. Y el límite de caracteres bajo significa que las URL abreviadas son la norma en los mensajes de texto, por lo que no despiertan sospechas.
RELACIONADO: PSA: Tenga cuidado con esta nueva estafa de entrega de paquetes de mensajes de texto
Todo el mundo es un objetivo
Usando direcciones de correo electrónico tomadas de las enormes bases de datos que contienen los datos personales violados que se pueden encontrar en la Dark Web, los actores de amenazas pueden enviar sus correos electrónicos falsos a literalmente millones de destinatarios. No estás siendo señalado. Usted es un objetivo simplemente porque sus datos se incluyeron en una violación de datos en algún momento del pasado. Esto no es un francotirador. Esto es ametrallar a ciegas y luego mirar para ver quién ha sido alcanzado.
Puede verificar fácilmente si su correo electrónico ha sido expuesto debido a una violación de datos. El sitio web have I Been Pwned recopila todas las filtraciones de datos y las coloca en una base de datos en línea con capacidad de búsqueda de más de 10 mil millones de registros. Si su dirección de correo electrónico se encuentra en la base de datos, se le informará en qué empresa o sitio web se produjo la infracción. Luego puede cambiar su contraseña en ese sitio o cerrar su cuenta.
Sin embargo, no hay mucho que pueda hacer con respecto a su dirección de correo electrónico. Una vez que está ahí, está ahí fuera. Y probablemente será barrido como parte de la munición que un actor de amenazas alimenta al software de su campaña de phishing.
El mismo principio se aplica a los números de teléfono móvil. Las violaciones de datos que filtran datos personales a menudo incluyen detalles de teléfonos celulares. Luego, estos se utilizan como números de destino para el software de SMS automatizado utilizado por los actores de la amenaza.
RELACIONADO: Cómo verificar si los correos electrónicos del personal están en brechas de datos
Por qué las organizaciones deben ser cautelosas
Se está produciendo una confusión entre la vida digital hogareña de las personas y la vida digital empresarial. Las personas traen sus propios dispositivos, como teléfonos celulares, a su lugar de trabajo y se conectan a la red Wi-Fi. Realizan sus compras en línea en casa, pero a menudo eligen que se las entreguen en su lugar de trabajo, si es donde van a estar durante el día.
Eso significa que si un correo electrónico de phishing disfrazado de correo electrónico de un mensajero cae en la bandeja de entrada de su empresa, no se sorprenderán. Su interés en la entrega probablemente anulará la capacitación de concienciación de su personal sobre cómo detectar un correo electrónico de phishing.
Pueden recibir el correo electrónico de phishing en su teléfono celular y reenviarlo al correo electrónico de su empresa para que puedan imprimirlo o manejarlo en una pantalla grande y con un teclado real. Pueden usar su computadora corporativa para acceder a su correo web personal a la hora del almuerzo. Independientemente de la ruta que tome un correo electrónico de suplantación de identidad (phishing) para llegar a la bandeja de entrada comercial o al equipo corporativo de alguien, es la red de su organización la que corre el riesgo de infectarse y verse comprometida.
Cómo detectar ataques
Estas acciones ayudarán a mantener a su personal y su red a salvo de ataques de phishing y smishing.
- ¿De verdad está esperando una entrega? ¿Ya puedes dar cuenta de todo lo que has pedido?
- Verifique cuidadosamente la dirección de correo electrónico del remitente. ¿Tiene el dominio que esperarías que tuviera? Si no es así, sospeche. A menudo, puede haber una diferencia de una sola letra. Hay algunos ejemplos bien conocidos de esto. Uno parecía decir «microsoft.com», pero la «m» inicial fue reemplazada por dos letras «r» y «n». De un vistazo, «rn» se parece a «m». El segundo ejemplo fue «apple.com» con la «l» minúscula ana, reemplazado con una «I» mayúscula sí. En algunos tipos de letra, estos se ven exactamente iguales. Por lo tanto, observe detenidamente cada letra de la dirección de correo electrónico. No lo mires ni lo leas.
- Trate los enlaces como trampas potenciales. Pase el puntero del mouse sobre ellos y verifique la información sobre herramientas para ver dónde están tratando de llevarlo. Puede hacer que el texto del enlace diga lo que quiera. Eso no significa que ese sea el lugar al que apunta el enlace. Si tiene alguna duda, no utilice el enlace. Realice una búsqueda en la web y navegue hasta el sitio manualmente.
- A pesar de sus mejores esfuerzos, los actores de amenazas aún pueden cometer errores con la gramática y la ortografía. Los correos electrónicos genuinos no tienen este tipo de errores, especialmente cuando provienen de sistemas automatizados. Si se ve mal, está mal.
- ¿Los gráficos y la librea parecen profesionales, o parece que alguien ha usado cortar y pegar para colocar las imágenes y no coincide con la versión del blanco en el fondo?
- Ninguna organización acreditada le pedirá que proporcione contraseñas, detalles de la cuenta u otra información confidencial.
- Recuerde, las filtraciones de datos que los actores de amenazas utilizan como fuente de direcciones de correo electrónico y números de teléfonos móviles también contienen otros datos personales. Por lo tanto, es fácil usar su nombre en el correo electrónico o en el texto SMS. El hecho de que lo mencione por su nombre no indica que el correo electrónico o el SMS sean genuinos. Aún debe ser cauteloso y tener cuidado.
