Las noticias de ciberseguridad en los últimos meses han sido numerosas: grandes corporaciones hackeadas, presunto robo del código fuente de varios de los principales proveedores de antivirus o incluso la vulnerabilidad de seguridad del software Whatsapp. 2019 no está siendo un año fácil en lo que a ciberseguridad se refiere. Sin embargo, hay muchos peligro que han pasado desapercibidos durante meses.
Y es que, si bien hablamos casi siempre de ataques o vulnerabilidades explotadas por los cibercriminales, los ataques cibernéticos deben clasificarse en dos categorías: hackeos y estafas. Como aprendimos en 2017, no es el ataque más ruidoso el que causa más daño. #WannaCry estuvo en boca de todos, en todos los medios. Pero, mirándolo con la perspectiva que nos da el tiempo, parece que WannaCry solo era la punta del iceberg, y lo que se escondía bajo el agua helada era bastante más peligroso de lo que sobrepasaba la superficie.
La situación se está repitiendo hoy. Los principales anuncios de ataques, hackeos y fuga de datos que día a día ocupan portadas y reciben la atención de profesionales, no siempre son los más peligrosos. El aumento del número de ataques está haciendo que muchas estafas queden en el fondo, siendo desconocidas para muchas empresas y profesionales. Por eso, hoy te traemos cuatro estafas, que han pasado desapercibidas, a tener en cuenta:
4 Estafas, desconocidas, a tener en cuenta
1.- Simulación de intercambio o duplicación de tarjetas SIM
La técnica es simple pero diabólicamente efectiva: pretendiendo ser su víctima con su operador de telecomunicaciones, el cibercriminal solicita la duplicación de una nueva SIM. La copia le da acceso al número de teléfono, pero también a todos los servicios que utilizan la autenticación de doble SMS. Es decir, tendría acceso a la validación de todas las transacciones bancarias “3D Secure” que se realizan con este servicio incluída la conexión de las cuentas de Amazon o Gmail, muchos servicios utilizan el envío de SMS para realizar la autenticación del usuario en dos pasos, pensando en tener más seguridad, pero no siempre es así. Y es que, si este servicio es utilizado por los cibercriminales, puede poner en peligro las transacciones, e incluso muchos de los datos de inicio de sesión de multitud de usuarios.
¿Cómo protegerse contra el intercambio de SIM?
Los expertos apuntan a que, en lugar de la autenticación por SMS, es preferible utilizar la autenticación de doble factor, utilizando software como authy, google authenticator o freeotp.
De esta manera, aunque un cibercriminal se haga con una copia de nuestra SIM no podrá acceder a nuestras cuentas ni servicios.
2.- Spoofing de dominio en .co:
Muchos sitios web son el objetivo de una nueva usurpación sin precedentes: la compra del mismo nombre de dominio en .co en lugar de .com.
El sistema es simple: el usuario recibe un correo electrónico de #phishing que se presenta como una marca registrada y, al conectarse al sitio, el dominio en la barra de direcciones no es https://www.netflix. com / myadresse pero https://www.netflix.co/monadresse. Este sitio es un sitio espejo, que en ningún caso es el sitio original y legítimo, y permitirá a los piratas informáticos recopilar información sobre la víctima como su nombre de usuario y contraseña.
Este tipo de estafas, basadas en ingeniería social y phishing, son cada vez más frecuentes. Y es por ello que ahora más que nunca es necesario concienciar a los usuarios de la necesidad de verificar la dirección del sitio en el que se navega antes de comprar cualquier cosa.
3.- La estafa de soporte telefónico:
Esta estafa se viene desarrollando desde hace dos años en Francia pero también se ha visto en otros países. Su funcionamiento es simple, ya sea por correo, SMS o directamente a través de un sitio web falso, el ciberdelincuente envia un mensaje utilizando el sesgo psicológico de la urgencia y el miedo, pidiéndole al receptor que llame a una centralita con el fin de resolver un problema.
Ya sea por un virus detectado milagrosamente en la máquina de la persona objetivo, o asegurando que esta empresa o usuario no está respetando el RGPD y puede tener grandes problemas, la víctima de esta estafa buscará desesperadamente solucionar la situación realizando la llamada y comprando lo que le aconsejen por teléfono sin pensarlo dos veces. Un producto antivirus, o como ha ocurrido en innumerables ocasiones en los últimos meses, un servicio de auditoría y cumplimiento RGPD que promete a la empresa evitar las grandes multas a las que podría enfrentarse por falta de adecuación a la norma.
4.- Barra de direcciones falsa en teléfonos Android usando Chrome:
La última actualización de Google Chrome en Android muestra una nueva característica que buscaba la comodidad del usuario. En lugar de mostrar la barra de direcciones que contiene la URL del sitio web visitado, Chrome lo reemplaza con un título simple que deja más espacio para leer el contenido en sí. Pero, tal y como señala el desarrollador James Fisher, nunca ha sido tan fácil pasar una página de phishing por una página web legítima ya que la dirección web ya no se muestra al usuario.
En este sentido, se recomienda tener especial precaución a la hora de acceder a sitios webs desconocidos desde un dispositivo Android y prestar especial atención si tenemos que introducir datos o información delicada.
En definitiva, Internet es un gran campo de juego, ofrece innumerables posibilidades y grandes beneficios, pero para jugar se han de conocer las normas y prestar especial atención al comportamiento del resto de jugadores. Al igual que no nos lanzamos a jugar al ajedrez sin saber cómo se mueve cada pieza y sin pensar en las consecuencias que pueden tener cada uno de nuestros movimientos, en Internet, también deberíamos pensar dos veces antes de realizar ningún “movimiento” que pueda ponernos en jaque.
Y es que, como veis, además de los principales ataques cibernéticos de los que todo el mundo habla, el cibercrimen menos organizado y menos visible también es muy activo, y realiza ataques que, muchas veces, pasan desapercibidos.
Fuente: Globb Security
コメント