Muchos de nosotros hemos visto estafas relacionadas con COVID llegar a nuestras bandejas de entrada en el último año. No es ningún secreto que los estafadores intentan aprovecharse de los momentos de pánico e incertidumbre, cuando la gente es más vulnerable, para robar información personal.
Hoy en día, con el rápido desarrollo y distribución de las vacunas COVID, muchos estadounidenses se conectan a Internet y comparten información personal para apuntarse a las listas de espera y reservar cita antes de que se llenen las vacantes. Los estafadores están modificando sus tácticas para aprovecharse de este entusiasmo. Mientras comprobamos ansiosamente nuestros correos electrónicos en busca de actualizaciones y confirmaciones de vacunas, puede ser difícil distinguir entre un correo electrónico legítimo y un intento de phishing.
La mejor manera de protegerse de los malos actores es aprender a reconocer las señales de alarma. Si las conoce de antemano, será menos probable que haga clic en un correo electrónico convincente. Cofense y Mimecast, miembros de la junta directiva de la National Cyber Security Alliance, capturaron ejemplos reales de intentos de phishing, que se ven a continuación. Ponga a prueba sus conocimientos y vea si puede encontrar las señales de una estafa en estas imágenes.
Esta captura de pantalla, capturada por Mimecast, muestra un típico intento de phishing. ¿Cuántas banderas rojas puedes encontrar? Sigue desplazándote para ver si las has encontrado todas.
EN ESTE CORREO ELECTRÓNICO SE PUEDEN ENCONTRAR VARIAS SEÑALES DE ALARMA DE UN INTENTO DE PHISHING:
- Línea de asunto: observe el uso de mayúsculas y signos de exclamación. La redacción y el formato se utilizan para crear una sensación de urgencia, tratando de que haga clic en el correo electrónico en estado de pánico, rápidamente y sin pensar.
- Imitar una fuente de confianza - Este phish, probablemente enviado a los empleados de una empresa, finge proceder de un departamento de recursos humanos. Los malos actores se hacen pasar por personas o grupos que usted ya conoce para ganarse su confianza. Si no está seguro de si un correo electrónico procede realmente de alguien, póngase en contacto con esa persona o llámela directamente para volver a comprobarlo.
- Errores y faltas de ortografía - En todo el cuerpo del correo electrónico se aprecian errores gramaticales, así como el uso aleatorio de mayúsculas en ciertas palabras, como "Vacunado". Uno esperaría que un correo electrónico procedente del departamento de recursos humanos de una organización utilizara una redacción y una gramática correctas. La combinación de un formato extraño, letras mayúsculas y una gramática extraña hacen que este correo electrónico parezca "falso".
- Hiperenlaces: el contenido del correo electrónico intenta inducir al destinatario a hacer clic en el hiperenlace que aparece al final del mensaje. Desconfíe siempre de hacer clic en los enlaces (y archivos adjuntos) de los correos electrónicos, ya que pueden llevarle a un sitio fraudulento.
MIMECAST SUGIERE LOS SIGUIENTES CONSEJOS PARA EVITAR ESTAFAS:
- Sea proactivo. Vaya directamente a la página web de su administración local u hospital para comprobar los hechos y obtener la información correcta.
- Sospeche de correos electrónicos, llamadas telefónicas o mensajes de personas que no conoce y que intentan llamar su atención con actualizaciones sobre las vacunas.
- Compruebe siempre las URL. Los piratas informáticos están creando sitios que parecen instituciones sanitarias oficiales y proveedores de vacunas. Navegue directamente a sitios web oficiales como CDC.gov y el sitio web oficial de su estado/ciudad.
- Utiliza contraseñas fuertes y únicas para todas tus cuentas cuando te registres y utiliza MFA/2FA siempre que sea posible.
- No te conectes a redes que no reconozcas. Busca información sobre vacunas en tu red WiFi doméstica segura, que debe estar protegida por una contraseña segura.
- Extreme las precauciones si utiliza un dispositivo propiedad de la empresa. Los actores de amenazas buscan acceder a la organización para la que trabajas, con la intención de robar datos.
- Asegúrese de que su dispositivo dispone de las actualizaciones y parches más recientes.
- Esté atento a los intentos de suplantación de identidad (vishing): desconfíe de cualquier persona que le pida que comparta sus datos de acceso por teléfono. Una buena regla para detectar intentos de vishing y phishing es detenerse y preguntarse si esperaba la llamada o el mensaje. Si no es así, ponte en contacto directamente con la empresa para comprobar si el mensaje o la llamada son reales.
El siguiente intento de phishing, capturado por Cofense, es un poco más detallado, pero sigue conteniendo muchas señales de alarma:
BANDERAS ROJAS EN ESTE INTENTO DE PHISHING:
- Línea de asunto - De nuevo, nótese el uso de mayúsculas y la frase "información muy importante" intentando que el destinatario haga clic en el correo electrónico sin pensar.
- Enlace de encuesta - La URL es una suplantación de la popular plataforma de encuestas SurveyMonkey, pero fíjate en la ortografía incorrecta y la falta de un dominio de nivel superior (el segmento que suele seguir al nombre de dominio, como .com u .org).
- Hiperenlace de encuesta - El recuadro adyacente al enlace aparece al pasar el ratón por encima de una URL. Si pasa el ratón por encima de una URL, se mostrará el verdadero destino del hipervínculo. El destino puede no coincidir con el texto del correo electrónico, como se ve en este ejemplo. Esto es una señal de alarma importante de que alguien está intentando redirigirle a un sitio no seguro.
- Faltas de ortografía y errores - Este phish tiene mejor gramática que el anterior, pero errores como "Survey's" y el uso de mayúsculas en "Today" muestran que algo en el correo electrónico es "phishy".
- Imitar a una fuente de confianza - De nuevo, este estafador se hace pasar por un miembro del departamento de recursos humanos de una organización. Sin embargo, este remitente es un poco más detallado que el anterior. Han incluido un nombre y un cargo concretos: "Dawn, Directora de Recursos Humanos", lo que hace que parezca más probable que este correo electrónico proceda de un remitente legítimo.
Muchos correos electrónicos, mensajes de texto y llamadas telefónicas utilizan mensajes más sofisticados, con señales de alarma cada vez menos evidentes. Recuerde leer los mensajes con atención. Siempre es importante ir más despacio, comprobar el remitente y preguntarse si se esperaba el mensaje o la llamada en cuestión.
COFENSE SUGIERE LOS SIGUIENTES CONSEJOS PARA PROTEGERSE CONTRA EL PHISHING:
- Valide la fuente del correo electrónico con los sitios web oficiales del gobierno (por ejemplo, CDC, OMS o sitios web de los departamentos de salud locales y estatales).
- Si el remitente es una persona con la que interactúas habitualmente, pero el mensaje te parece "raro", valídalo por otro canal (teléfono, mensaje de texto o nuevo mensaje de correo electrónico). Es posible que su cuenta esté comprometida.
- No facilite nunca sus datos personales a fuentes no fiables, incluidos su nombre de usuario y contraseña.
- Crea nombres de usuario y contraseñas únicos para cada sitio web y/o aplicación. Muchos sitios web y aplicaciones te permiten crear un nombre de usuario que no sea tu dirección de correo electrónico.
- Crea un almacén de contraseñas para guardar todos estos nombres de usuario únicos. Acostúmbrate a abrir el almacén cada vez que vayas a crear un nuevo inicio de sesión para un sitio web o una aplicación.
- Habilite el multifactor (MFA o 2FA) para cualquier sitio web o aplicación que tenga la capacidad. Si su información de inicio de sesión se obtiene de una violación de datos, este es un nivel adicional de protección.
- Si se le notifica una violación de datos que afecta a su información de acceso, cámbiela inmediatamente y actualice su bóveda.
RECURSOS ADICIONALES:
- Concienciación sobre seguridad Episodio 4: Phishing y ransomware, de NCSA, Adobe y Speechless Inc.
- Pon a prueba tus conocimientos sobre phishing con el cuestionario de Google sobre phishing
- Blog y centro de recursos gratuitos de Cofense
- Blog y centro de recursos de Mimecast
- Informe de Mimecast, "The Year Of Social Distancing", sobre los retos de seguridad del nuevo espacio de trabajo digital.