Cuide su Instagram

Los engaños de ingeniería social siguen vigentes y, en este sentido, la suplantación de identidad para obtener algún redito monetario aumentó en redes sociales durante estos tiempos de pandemia.

El investigador de Eset, compañía líder en detección proactiva de amenazas informáticas, Jake Moore, decidió clonar su propia cuenta, con un teléfono de repuesto y tomando cuatro capturas de pantalla de su cuenta original para imitar el accionar de los cibercriminales.

La única diferencia en su nueva cuenta, además de la cantidad de seguidores, fue un cambio en la biografía en la que incluyó un texto que decía ‘Cuenta nueva después de perder el acceso a la original’.

Luego, comenzó a seguir a 30 de sus amigos, 10 de cuentas privadas, por lo que requerían aceptación, y 20 cuentas públicas. “Esperaba que alguien me contactara a través de un método de comunicación diferente y cuestionara esta solicitud, particularmente debido al rol en el que me desempeño laboralmente y a la vergüenza a la que podría haber sido sometido, aunque comprendiendo también que todos somos susceptibles a un compromiso de cuenta. Pero nadie lo hizo. De hecho, los números aumentaron”, comentó Jake Moore.

Replicando el accionar de los ciberdelincuentes, les envió un mensaje a sus seguidores, agradeciendo por aceptar la nueva solicitud y mencionando el incidente, lamentándose también que habían atacado sus cuentas bancarias y que no contaba con dinero hasta que se resuelva el inconveniente. El interlocutor, al creer que está hablando con el responsable de la cuenta, la conversación le resulta más creíble y ofrece su ayuda.

“Lo que encontré más desconcertante fue la rapidez con la que todo escaló y que pude engañar al blanco apuntado y lograr que pensara que era genuino, sin necesidad de verificaciones adicionales. Incluso pude hacer que la propia persona me ofreciera ayuda, lo cual le dio un pequeño giro. Esta suele ser una técnica inteligente utilizada por ingenieros sociales profesionales que hacen un juego psicológico para evitar solicitar el dinero directamente”, agregó el investigador de ESET.

Todo un experimento para recordar las recomendaciones sobre cómo mantener seguras las cuentas de redes sociales, empezando por reducir la cantidad de información personal y fotos en línea. Aunque es una gran tarea, es importante enseñar a la próxima generación de usuarios de redes sociales lo importante de limitar la cantidad de información que se publica antes de que esté expuesta para siempre.

Este tipo de estafas no funcionan de la misma manera en cuentas privadas, si bien hay cuentas privadas que aceptan personas que no necesariamente conocen.

Hay que chequear el contenido de lo que se publica. También aplica para aceptar seguidores, tomarse unos segundos para decidir si se está dispuesto a que ese usuario conozca más detalles sobre el día a día. A su vez, ser completamente público está sujeto a peligros como este.

Cuando haya dinero de por medio nunca aceptar nada o brindar datos confidenciales sin analizarlo detenidamente. Es primordial solicitar validar mediante otra forma de comunicación antes de que se envíe dinero a un nuevo beneficiario, o compartir datos de cuentas o tarjetas de crédito.

“Esta estafa no se limita únicamente a Instagram, también se ha visto en Facebook, Twitter y LinkedIn, así que asegúrese de estar atento a las cuentas clonadas. Denuncie estas cuentas e informe al titular real de la misma”, mencionó Luis Lubeck, Especialista en Seguridad Informática de ESET Latinoamérica.

Linkedln

Muchos de estos engaños ya se venían presentando desde tiempo atrás, pero se han incrementado en tiempo de pandemia.

A fines del año pasado, investigadores de ESET, descubrieron que entre septiembre y diciembre de 2019 se llevaron a cabo de manera activa ataques dirigidos contra compañías aeroespaciales y militares en Europa y Medio Oriente.

El objetivo principal de la operación era el espionaje, y en uno de los casos se intentó monetizar el acceso a la cuenta de correo de una de sus víctimas a través de un ataque conocido como BEC (del inglés Business Email Compromise).

La investigación denominada ‘Operacion In(ter)ception’ contó con la colaboración de dos de las compañías europeas afectadas, lo que permitió obtener información sobre las técnicas utilizadas y descubrir malware previamente indocumentado. Para comprometer a sus objetivos, los atacantes utilizaron ingeniería social a través de LinkedIn para publicar ofertas de trabajo atractivas, pero falsas.

“El mensaje fue una oferta de trabajo bastante creíble, aparentemente de una empresa conocida en un sector relevante. Por supuesto, el perfil de LinkedIn era falso, y los archivos enviados dentro de la comunicación eran maliciosos”, comenta Dominik Breitenbacher, el investigador de malware de ESET que analizó el malware y dirigió la investigación.

Los archivos maliciosos se enviaron directamente a través de mensajes de LinkedIn o por correos electrónicos que contenían un enlace de OneDrive. Para la última opción, los atacantes crearon cuentas de correo electrónico correspondientes a sus falsos perfiles de LinkedIn.

Una vez que el destinatario abría el archivo, se mostraba un documento PDF con información salarial relacionada con la falsa oferta de trabajo. Mientras tanto, el malware se implementaba silenciosamente en la computadora de la víctima. De esta manera, los atacantes establecieron un punto de apoyo inicial y alcanzaron una persistencia sólida en el sistema.

“Los ataques que investigamos mostraron todos los signos de espionaje, con varias sugerencias que insinúan un posible vínculo con el grupo Lázaro. Sin embargo, ni el análisis de malware ni la investigación nos permitieron obtener una idea de a qué archivos apuntaban los atacantes”, comenta Breitenbacher.

Además del espionaje, los investigadores de ESET encontraron evidencia de que los atacantes intentaron usar las cuentas comprometidas para extraer dinero de compañías que interactuaban con sus víctimas.

Entre los correos electrónicos, encontraron comunicación entre la víctima y un cliente con respecto a una factura no resuelta. Los atacantes siguieron la conversación e instaron al cliente a pagar la factura a una cuenta bancaria propia. Afortunadamente, el cliente comenzó a sospechar y se acercó a la víctima para pedir ayuda, frustrando el intento de los atacantes de llevar a cabo el ataque.

“Este intento de monetizar el acceso a la red de la víctima debería servir como otra razón para establecer defensas fuertes contra intrusiones y proporcionar capacitación en seguridad informática a los empleados. Dicha educación podría ayudar a los empleados a reconocer técnicas de ingeniería social aún menos conocidas, como las que se utilizan en la Operación In(ter)ception”, concluyó Breitenbacher.

Peligro en WhatsApp

Una antigua campaña maliciosa que volvió a circular a través de WhatsApp en la que se suplanta la identidad de la marca de cervezas Heineken y que intenta sacar provecho de la situación que se vive a raíz de la pandemia en varios países de la región.

Utilizando un lema recurrente en estos tiempos, como ‘Quédate en casa’, el engaño invita a los usuarios a participar de una falsa promoción que promete cerveza gratis a quienes cumplan con ciertos requisitos.

Al analizar el enlace que incluye el mensaje, ESET corroboró que no se trata del sitio oficial de la empresa. De hecho, ni siquiera incluye el nombre de la marca de la cerveza en la URL. Por otra parte, hay una falta de contexto en la descripción de la supuesta promoción, ya que, de ser una campaña legítima, probablemente se especificaría la fecha de vigencia o detalles del país al cual va dirigida la misma.

Un usuario ingresa al enlace, se lo invita a participar de un breve cuestionario para poder participar del supuesto beneficio; un esquema que ya hemos visto en múltiples campañas de ingeniería social que circulan a través de WhatsApp. Una vez finalizadas las preguntas, la campaña exige a la víctima que comparta la promoción con al menos 20 contactos o grupos de WhatsApp para obtener el premio.

“Con este modus operandi los ciberdelincuentes detrás de este engaño no solo se aseguran de seguir distribuyendo la estafa, sino que buscan bajar las expectativas de seguridad de los usuarios al recibir el mensaje por parte de un conocido”,aseguró Luis Lubeck.

Una vez que la víctima comparte el mensaje con sus contactos, se produce un redireccionamiento con el objetivo de instalar un adware en el dispositivo del usuario.

“En caso de que la víctima no cuente con un sistema de protección confiable que le indique cuándo un sitio es de dudosa reputación, el usuario se podrá ver afectado al usar su navegador por la aparición de publicidad no deseada de forma regular”, agregó Lubeck.

Una recomendación que acerca ESET a los usuarios ante este tipo de campañas, es realizar una búsqueda en Google para obtener más información sobre el supuesto beneficio. En este caso, se identificó que se hicieron varios reportes alertando de la estafa, sino que la propia compañía -en este caso desde la cuenta de Twitter de Heineken México- alerta a los usuarios de manera oficial sobre la existencia de la misma.

Al igual que con cualquier campaña de phishing o ingeniería social, para no ser víctima de este tipo de engaño o similar, desde ESET se aconseja a los usuarios estar atentos a este tipo de mensajes y revisar la URL que contiene el mismo antes de hacer clic.

Cuentas Netflix

A través de un falso correo que suplanta la identidad de Netflix, se intenta hacer creer a los usuarios de esta plataforma de contenido streaming que su cuenta ha sido suspendida.

Así lo dice ESET Latinoamérica, compañía dedicada a la detección proactiva de amenazas informáticas, que advirtió que las detecciones de phishing en América Latina aumentaron más del 600 % en comparación con el mismo período (enero a julio) del año 2019.

ESET identificó esta campaña activa en la que se suplanta nuevamente la identidad de la plataforma de streaming Netflix, con la intención de robar datos de los usuarios.

Esta campaña en particular se distribuye a través del correo electrónico cuyo asunto es: “Alerta de notificación”. En el cuerpo del correo, el mensaje informa acerca de una supuesta deuda acumulada por parte de la potencial víctima, que llevará a la suspensión del servicio si no se toma acción rápida.

Además de suplantar la identidad de Netflix, una marca muy utilizada por los cibercriminales para campañas de suplantación de identidad probablemente por la gran cantidad de usuarios que tiene este servicio, se puede apreciar que los operadores detrás del engaño apelan a la inmediatez de la acción por parte del usuario.

El correo es un ejemplo claro de las principales señales que deberían despertar la sospecha del usuario en caso de recibir un mensaje de este tipo. Si bien incluye el nombre de la empresa que dice representar, la dirección de correo no guarda relación con el nombre de la marca. Todo indicaría que se trata de una cuenta de correo que fue comprometida para utilizarse para el envío del spam malicioso.

Otro elemento clave y que los investigadores de ESET destacan para confirmar que se está frente a un engaño, es la URL detrás del botón “Actualice sus detalles de pago”. Esta información se observa al posicionar el puntero sobre el botón, donde se previsualiza la dirección a la cual se accederá en caso de hacer clic, y muestra que el enlace del correo tampoco se trata de un sitio oficial o registrado por la marca.

El engaño busca robar los datos financieros de las víctimas al solicitar que se reingresen los números completos del medio de pago utilizado o de una nueva tarjeta de crédito. Según Eset, otra señal que debería alertar al usuario en caso de haber llegado hasta acá es que el texto en esta página está en inglés, cuando el mensaje original está en español.

En caso de que la víctima caiga en la trampa e ingrese la información, luego de confirmar sus datos se encontrará con un mensaje, nuevamente en inglés, que indica que su cuenta fue reactivada.

Una vez que el usuario hace clic en el botón “Continuar”, será dirigido a la página oficial de Netflix (sitio que cuenta con un certificado SSL válido y a nombre de Netflix), pero esta vez sí en español. Si la víctima llega hasta aquí sin haberse percatado del engaño, quizás no se haya dado cuenta tampoco de que, como parte del engaño, fue dirigida al sitio legítimo para que el usuario intente acceder y de esta manera corroborar que la cuenta no está bloqueada.

“Ante la más mínima duda sobre la legitimidad de un correo, nunca debemos hacer clic en el enlace que se incluye en un mensaje que llega de manera inesperada. Sobre todo, sin antes verificar su procedencia y comprobar que sea de un sitio oficial. Por otra parte, si ya fue víctima de este engaño y compartió su información personal, recomendamos modificar sus credenciales de acceso en el sitio y en aquellos en los que utilice la misma contraseña, y comunicarse con su entidad financiera a la brevedad en caso de haber ingresado datos de tarjetas de crédito o débito”, mencionó Luis Lubeck, Especialista en Seguridad Informática de ESET Latinoamérica.