Llegamos a ustedes gracias a:



Alertas de Seguridad

ESET advierte sobre engaños reinventados

Phishing, smishing y archivos adjuntos

[15/08/2017] Eset dio a conocer campañas renovadas de ingeniería social (manipulación psicológica y persuasión para que voluntariamente la víctima brinde información personal o realice algún acto que ponga a su propio sistema en riesgo, suele utilizarse para obtener contraseñas, números de tarjetas de crédito o PIN, entre otros) que explotan técnicas conocidas hace tiempo para alcanzar cada vez más usuarios.

"Desde el Laboratorio de Investigación de Eset Latinoamérica hemos analizados dos casos de reciente circulación y debajo se repasa cómo funcionan estas viejas técnicas, combinadas ahora con novedosos engaños para lograr ser señuelos más atractivos para sus víctimas, comentó Lucas Paus, especialista en seguridad informática de ESET Latinoamérica.

Caso 1: Smishing

El ejecutivo explicó que es un tipo de técnica que se presenta cuando una víctima recibe un mensaje de texto (SMS) en el cual es inducida a ingresar a un enlace malicioso. Los pretextos pueden ser una cuenta suspendida, el restablecimiento de una contraseña o un acceso indebido a una cuenta, por ejemplo. "El estafador se hace pasar por una entidad conocida, como un banco o una empresa. Así como un ciberdelincuente puede enviar un correo apócrifo, que aparentemente proviene desde una dirección conocida, también puede falsificar el número telefónico que aparece como origen de los mensajes, anotó Paus.

Este tipo de técnica suele ligarse a la ingeniería social, ya que busca hacerse de contraseñas o información crítica del usuario, pero no suele propagar códigos maliciosos.

La imagen muestra un caso de smishing que se propagó recientemente entre usuarios de Latinoamérica, bajo el pretexto de desbloquear una cuenta del banco mexicano Banamex.

"En el cuerpo del mensaje se advierte al receptor que podrá confirmar su identidad haciendo clic en el enlace proporcionado. Cuando desde Eset se analizó la actividad que tuvo la página de destino, se evidenció que alcanzó más de mil clics en solo un día y luego permaneció inactiva en las siguientes semanas. Por otro lado, el ataque apuntaba específicamente a un país: el 85% de las víctimas fueron usuarios de México, señaló Paus.

Caso 2: Phishing redirect con archivos adjuntos

Es un ataque que se comete con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima donde el estafador se hace pasar por una persona o empresa de confianza, utilizando una aparente comunicación oficial como correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas.

"En este caso, la estafa se propaga por correo electrónico. Sin embargo, los teléfonos celulares intervienen como canal secundario, como podemos observar en el siguiente ejemplo de una campaña muy reciente, señaló Paus.

Eset Smishing

Explicó que, el correo simula ser una comunicación proveniente de PayPal, y si bien la dirección de origen parece ser pago@paypal.com.ar, es fácil distinguir que es en realidad un alias de otra dirección con un dominio desconocido. "El pretexto del engaño es un clásico problema con la información de la cuenta, en este caso un cambio en el número de teléfono asociado. Curiosamente, el mensaje no contiene un enlace, sino un archivo adjunto. En su interior, se induce al usuario a visitar un sitio web. El mismo es malicioso y lo llevará a un sitio web que imita al original de PayPal, donde se solicitaran las credenciales de acceso, anotó el ejecutivo.