Las medidas de phishing son cada vez más necesarias a medida que los piratas informáticos intentan robar su información personal y sus fondos en línea todos los días.
Según un informe reciente de Scam Sniffer, en febrero, alrededor de 57.000 víctimas sufrieron pérdidas de alrededor de 47 millones de dólares debido a estafas de criptophishing. Señalaron que "la mayoría de las víctimas fueron atraídas a sitios web de phishing a través de comentarios de phishing de cuentas de Twitter suplantadas".
Por lo tanto, para evitar caer en manos de estafadores, es necesario poder reconocer el phishing y saber cómo protegerse a usted y a su dinero. En este artículo, discutiremos esto en detalle.
El último ataque de piratas informáticos a los intercambios
La empresa de ciberseguridad Lookout ha anunciado la divulgación de una nueva herramienta de phishing llamada CryptoChameleon. Esta herramienta demuestra una nueva táctica dirigida a algunos intercambios de criptomonedas como Binance, Gemini, Coinbase, así como a la Comisión Federal de Comunicaciones de EE. UU. (FCC) a través de teléfonos móviles. Los atacantes pueden crear copias de páginas de inicio de sesión único (SSO) y luego utilizar una combinación de correo electrónico y llamadas de voz para obtener datos del usuario.
El informe señala que CryptoChameleon atacó a empleados de la Comisión Federal de Comunicaciones y de Binance. Además, los usuarios de Binance, Gemini, ShakePay y otros intercambios se vieron afectados. CryptoChameleon utiliza números de teléfono y sitios web que parecen legítimos y representan el servicio de soporte de la empresa en Gmail, iCloud, Outlook, X y otros servicios.
Lookout informó que pudieron hablar con algunas de las víctimas y confirmar que se utilizó una combinación de llamadas telefónicas y mensajes para obligar a la víctima a completar el proceso.
“En un escenario, una víctima recibió una llamada telefónica no solicitada que falsificaba la línea de atención al cliente de una empresa real. La persona al otro lado de la línea era el autor de la amenaza, pero parecía un miembro del equipo de soporte de esa empresa”.
Los piratas informáticos informaron al usuario que su cuenta había sido pirateada, pero le ayudarían a restaurarla. Durante una conversación telefónica con la víctima, los atacantes enviaban un mensaje que redirigía a una página de phishing.
El análisis de la compañía reveló más de 100 intentos exitosos de phishing y actividad de phishing continua, principalmente en servidores Hostwinds, Hostinger y Russian RetnNet. La gran mayoría de las víctimas se encuentran en Estados Unidos.
¿Cómo reconozco el phishing?
El objetivo principal del phishing es obtener información confidencial del usuario.
Los atacantes suelen enviar correos electrónicos con enlaces maliciosos en nombre de sitios web o intercambios. Pueden ser advertencias de seguridad, piratería de cuentas, diversas encuestas, etc. Los estafadores suelen enfatizar la urgencia de actuar o llamar la atención ofreciendo una gran recompensa por participar.
Señales que pueden indicar que el correo electrónico es fraudulento:
El mensaje utiliza subdominios, URL mal escritas.
El mensaje está escrito de una manera que infunde miedo o un sentido de urgencia.
El correo electrónico le solicita que confirme información personal, como información financiera o una contraseña.
El mensaje está escrito de forma analfabeta y contiene errores ortográficos y gramaticales.
Existen otros métodos de verificación utilizados por empresas como Binance, WhiteBIT y KuCoin, que tienen una forma adicional de verificar la autenticidad de un correo electrónico con la función Anti-Phishing. Después de activarlo, el usuario debe ingresar un código personalizado que indicará que el correo electrónico proviene de estas empresas. Después de guardar el código, cada vez que el usuario reciba un correo electrónico técnico de los intercambios, contendrá este código.
¿Cómo evitar estafas de phishing?
Utilice contraseñas seguras y habilite la autenticación de dos factores: utilice una contraseña segura y única para todas las cuentas. No los escriba en un lugar de fácil acceso ni los comparta con otras personas. Para almacenar y administrar contraseñas complejas, es mejor utilizar un administrador de contraseñas, como 1Password, LastPass, Dashlane y otros. Habilite la autenticación de dos factores para todas las cuentas para proporcionar una capa adicional de seguridad. Para hacer esto, puede instalar una aplicación 2FA en su teléfono, como Google Authenticator, Authy, 2FAS, etc.
No ignore las notificaciones de actualización: los parches y actualizaciones de seguridad se lanzan principalmente para abordar las técnicas actuales de ciberataque y cerrar las brechas de seguridad. Configure su software para que se actualice automáticamente para evitar nuevas amenazas.
Verifique la dirección del sitio web antes de ingresar su información: la URL de una página a menudo puede diferir del dominio en una sola letra y, a veces, en mayúsculas y minúsculas. Por ejemplo, 1-l, I-l (”i” mayúscula y “l” minúscula). Tampoco se recomienda ingresar contraseñas e inicios de sesión en sitios web sin HTTPS (un icono de candado al lado): protege la conexión y cifra los datos.
No haga clic en enlaces sospechosos: comúnmente, los estafadores utilizan enlaces sobre cómo ganar millones de dólares o regalos como señuelo. Por lo tanto, no haga clic en dichos enlaces y consulte siempre todos los sorteos y eventos de la empresa actuales.
Resumen
Comprender los esquemas de phishing y sus señales es lo más importante en la lucha contra este tipo de fraude.
Al saber cómo reconocer ataques dañinos y qué métodos utilizan los atacantes, los usuarios pueden proteger mejor sus datos personales. Y si siguen las recomendaciones anteriores, pueden reducir la probabilidad de robo.\
