Facebook, ahora contribuye con estafadores a robarnos con ofertas sin contacto real, como un cliente...Cuidado!
jueves, 3 de octubre de 2024
domingo, 26 de marzo de 2023
ESET, compañía líder en detección proactiva de amenazas, advierte sobre las distintas estrategias que utilizan los cibercriminales para hacer creer a las personas que son representantes de atención al cliente de un servicio.
Ciudad de México - ESET, compañía líder en detección proactiva de amenazas, alerta sobre una modalidad de engaño cada vez más común en la que estafadores suelen hacerse pasar por falsos representantes de atención al cliente para robar datos financieros de víctimas y luego su dinero. Además, los delincuentes suelen intentar establecer comunicación telefónica, pero para llegar a este punto suelen recurrir a distintas alternativas.
ESET analiza los principales métodos que se utilizan para llevar adelante este tipo de estafas y así aprender a detectarlas a tiempo:
1. Sitios falsos en los resultados de búsqueda de Google: Generalmente los primeros resultados corresponden a sitios legítimos y las personas suelen hacer clic casi de forma automática. El problema es que los delincuentes saben esto e intentan aprovecharlo. Los sitios falsos pueden aparecer en los primeros resultados de Google a través de anuncios pagos o mediante técnicas de SEO fraudulentas (BlackHat SEO). Por lo tanto, es importante no confiar ciegamente en los primeros enlaces que ofrece Google u otro motor de búsqueda.
Recientemente, ESET identificó el caso de una persona que buscó en Google el número de atención al cliente de un servicio e hizo clic en uno de los primeros resultados de la búsqueda. Así accedió a un sitio que en el cual debía dejar su número de teléfono para ser contactada. Cuando el falso representante de atención al cliente se comunicó, explicó que necesitaba cargar al sistema los datos de cobro debido a un inconveniente que habían sufrido en su base de datos. La víctima, convencida de que estaba hablando con un agente oficial, compartió con el delincuente los números de su tarjeta de crédito y débito, además del código de seguridad de ambas tarjetas y la fecha de expiración. Por si fuera poco, le envío vía WhatsApp fotos del frente y dorso del documento de identidad, tal como habían solicitado el estafador.
2. Perfiles falsos en redes sociales y el uso de bots: En redes sociales como Twitter e Instagram, ESET observó casos que muestran cómo los estafadores monitorean los comentarios que hacen los usuarios con ciertas palabras clave o cuando etiquetan a un perfil verificado. Estos mensajes generalmente suelen ser reclamos o algún tipo de inconveniente que plantean los usuarios que necesitan resolver. Cuando esto sucede, desde estos perfiles falsos (sin la marca de verificación) envían mensajes directos haciéndole creer a las víctimas que se comunican desde la cuenta oficial (utilizan el mismo logo y una variación del nombre oficial) y ofrecen el contacto del servicio de atención al cliente. Para esto utilizan bots que monitorear los comentarios de las personas y los perfiles legítimos.
3. Números de WhatsApp falsos: En estos casos, los estafadores suelen aprovechar esto y se contactan vía WhatsApp desde perfiles que contienen el logo y una descripción para hacer creer que es una cuenta legítima. En algunos casos, incluso utilizan cuentas de WhatsApp robadas de empresas o que tienen la marca de verificación. Una vez que se comunican con la víctima utilizan un amplio abanico de posibles excusas para convencerla de que comparta los datos de su cuenta bancaria, que compartan información personal o que realice alguna otra acción.
4. Vishing, llamadas telefónicas directas: El vishing es un ataque de ingeniería social que se da a través de llamadas telefónicas o mensajes de voz. Esta forma de engaño existe desde hace varios años y sigue siendo utilizada por estafadores que se hacen pasar por representantes oficiales de empresas, servicios u organismos públicos. Una de las tantas modalidades que utilizan consiste en llamar a los clientes de entidades financieras con la excusa de proporcionar los nuevos números de contacto de la entidad y luego tratan de persuadir a las víctimas para que compartan los números de su tarjeta.
Los delincuentes muchas veces acceden a bases de datos que se comercializan en foros clandestinos y que contienen números de teléfono, nombre completo, y en algunos casos hasta los números de las tarjetas. Esta información puede llegar a estos sitios por diversas vías, ya sea por filtraciones de datos que sufrió una compañía, por el robo de datos mediante malware o incluso por el compromiso de sitios web mediante skimmers o algún otro tipo de código malicioso.
“Las estafas de atención al cliente son muy comunes, los delincuentes utilizan diversos métodos, que van desde sitios falsos que aparecen en los primeros resultados de Google, perfiles falsos en redes sociales o llamadas telefónicas. Teniendo esto en cuenta, es importante que las personas estén atentas y nunca compartan información personal, ya que generalmente las empresa no solicitan datos personales telefónicamente, a través del correo electrónico o vía redes sociales. Mucho menos compartir esta información si fuimos contactados de forma inesperada”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Como medida de seguridad desde ESET recomiendan, en el caso de WhatsApp y las redes sociales, verificar que la cuenta con la que se está comunicando tenga la marca de verificación que asegura que es una cuenta oficial. Ante la duda, buscar siempre el número de contacto a través de los canales oficiales y verificar que todo sea legítimo.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/
viernes, 21 de octubre de 2022
ESET, compañía líder en detección proactiva de amenazas, advierte que estafadores siguen haciéndose pasar por centros oficiales de vacunación y llaman por teléfono para solicitar un código de seis dígitos que les permite robar la cuenta de WhatsApp.
Ciudad de México – ESET, compañía líder en detección proactiva de amenazas, alerta que los estafadores continúan utilizando el mismo modus operandi del año pasado para robar cuentas de WhatsApp a usuarios. Luego, se hacen pasar por los titulares de las cuentas y escriben a sus contactos para intentar engañarlos haciéndoles creer que tienen una urgencia y solicitan un préstamo o que realicen una transferencia. Muchas veces, las personas contactadas, creyendo que están hablando con el titular de la cuenta, caen en la trampa y realizan la transferencia.
Desde ESET se alertó a los usuarios en 2021 sobre esta forma de actuar los delincuentes, dado que estaban al tanto de casos en los que se estaban haciendo pasar por el Gobierno de la Ciudad de Buenos Aires en Argentina. En los últimos meses, el equipo de investigación observó varias denuncias donde las personas alertan que son contactados por un teléfono con la imagen del Ministerio de Salud de la Provincia de Buenos Aires.
Según se identificó en los engaños reportados, en un momento de la conversación los estafadores solicitan a la víctima que les envíe un código de seis dígitos que recibirá a través de SMS. “Supuestamente este código es para acceder al turno de la vacunación. Sin embargo, se trata del código que envía WhatsApp al número de teléfono asociado a la app para corroborar que es verdadero propietario de la línea quien está intentando abrir una cuenta de WhatsApp en un teléfono. Algunos usuarios han reportado que los ciberdelincuentes han ido un paso más e incluso han estado aprovechando la opción de enviar el código por buzón de voz, robando la cuenta de personas que en ningún momento envían el código de verificación, tal como explica la siguiente persona en Twitter.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Sin embargo, según afirman algunos medios, WhatsApp está preparando ciertos cambios para proporcionar el código de verificación y reducir el robo de cuentas a través de todas estas modalidades.
Una vez que los atacantes ingresan a la cuenta de WhatsApp tienen acceso a la lista de contactos de las víctimas. Esto puede posibilitar a los cibercriminales a realizar otro tipo de engaños, en su mayoría luego se comunican con algún contacto de la cuenta para solicitarles una transferencia de dinero. Lamentablemente, muchas personas caen en la trampa, por lo que es importante estar atentos y alertar a las demás personas.
Si han sido víctimas de esta estafa, pueden comunicarse con soporte de WhatsApp a través de la dirección de correo support@support.whatsapp.com. Por otro lado, para evitar que roben una cuenta de WhatsApp por esta vía, las personas pueden comunicarse con la compañía de telefonía móvil y cambiar la clave de seguridad para acceder a la casilla del buzón de voz, que generalmente viene por defecto, o solicitar que den de baja el buzón de voz para tu línea.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
miércoles, 14 de septiembre de 2022
ESET Latinoamérica, compañía líder en detección proactiva de amenazas, alerta sobre estafadores que crean constantemente perfiles falsos que se hacen pasar por distintas entidades bancarias y monitorean los comentarios de los clientes para engañarlos.
Ciudad de México – Si bien no es ninguna novedad que las redes sociales están plagadas de perfiles falsos, ESET, compañía líder en detección proactiva de amenazas, analiza una tendencia que ocurre en Argentina donde identificó 82 perfiles falsos de reconocidas entidades bancarias. El objetivo de los estafadores detrás de estos perfiles es robar el acceso a las cuentas bancarias de las víctimas y vaciarlas o incluso sacar préstamos a su nombre.
“Si bien esta amenaza afecta a usuarios y usuarias, vale la pena decir que también las entidades financieras padecen esta situación y constantemente intentan advertir sobre la existencia de estos perfiles falsos. Muchas de las cuentas oficiales tienen como tweets fijos una publicación que explica cómo reconocer perfiles oficiales. Por otra parte, son los propios bancos los que muchas veces monitorean las redes sociales y hacen las gestiones para que se den de baja estas cuentas apócrifas. Pero lamentablemente, son las propias características de redes sociales como Twitter las que permiten que se sigan creando.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Hace unas semanas el equipo de investigación de ESET analizó la cantidad de cuentas falsas activas en Twitter que se hacen pasar por cuentas oficiales de bancos en Argentina. En un solo día se detectaron 82 perfiles falsos activos suplantando la identidad de cinco entidades bancarias diferentes.
Todas estas cuentas falsas actúan de la misma forma. Cada vez que una persona escribe un comentario etiquetando a una entidad financiera - incluso solo con la mención en el mensaje de ciertas palabras-, una cuenta falsa responde simulando ser el área de Atención al cliente del banco para ofrecer ayuda.
Lo primerio que suelen hacer muchos de estos perfiles configurados para responder de manera automática es solicitar a las personas que sigan la cuenta. De esta manera podrán comunicarse vía mensaje directo y solicitar que proporcionen un número telefónico para que puedan comunicarse. Luego son contactados por falsos representantes de atención al cliente que buscarán extraer información, como claves de acceso, tokens u otros datos para poder acceder a sus cuentas y vaciarlas.
En su intento por no generar sospecha, la mayoría de los perfiles falsos imita en un alto porcentaje los perfiles legítimos, e incluyen enlaces con la URL del banco o incluso al chat de WhatsApp para soporte. Y si bien varias cuentas incluyen los enlaces oficiales, ESET identificó en algunos casos que los enlaces no dirigen al sitio oficial, con lo cual existe el riesgo de que puedan ser utilizados para dirigir a sitios falsos.
“La mayoría de los perfiles falsos que revisamos fueron creados durante el último mes, y en algunos casos fueron suspendidos a los pocos días. Esta dinámica parece ser constante: muchos perfiles son suspendidos a las semanas de haber sido creados y nuevos perfiles falsos se crean. Así es que encontramos una enorme cantidad de cuentas falsas en actividad.”, agrega el investigador de ESET.
Esta modalidad en Twitter no es nueva. ESET ha reportado campañas en el pasado de atacantes usando perfiles falsos y utilizando la API de Twitter para monitorear ciertos perfiles y contactarlos con una modalidad similar. El año pasado, por ejemplo, se reportó una campaña que apuntaba a usuarios de billeteras de criptomonedas simulando ser del área de soporte de servicios como Metamask, Coinbase o Yoroi con el objetivo de robar las credenciales.
Este mismo modus operandi también está presente en Instagram. En 2021 dese ESET alertaron sobre perfiles falsos de bancos en esta red social buscando contactar a clientes a través de mensajes directos. Como se explicó en esa oportunidad, los bots buscan obtener el número de teléfono de la víctima y luego la contactan vía WhatsApp o directamente por teléfono simulando ser representantes oficiales. En esa oportunidad, investigadores de ESET realizaron la prueba de proporcionar un número de teléfono y fueron contactados en algunos casos por una cuenta falsa de WhatsApp que simulaba ser la oficial y en otros casos por teléfono. En todos los casos los estafadores buscaban convencer a la persona para que proporcione información personal que un banco jamás solicitaría.
Pero además de las entidades financieras, este modus operandi también afecta a otras cuentas oficiales, como pueden ser aerolíneas, plataformas de pago, etc. A comienzos de este año desde ESET se publicó un caso de una víctima que sufrió el robo de sus credenciales bancarias luego de que falsos representantes de la aerolínea low cost Fly Bondi respondieran un comentario que realizó en una publicación del perfil oficial.
La principal recomendación de ESET para evitar caer en este tipo de fraude es entender cómo funciona, pero también aprender a reconocer las características de un perfil falso utilizado en este modelo. A continuación los elementos clave:
- No es una cuenta verificada. Las cuentas oficiales de bancos siempre tienen la marca de verificación.
- El nombre de la cuenta es diferente al de la cuenta oficial.
- Son perfiles nuevos. La fecha de creación suele no superar los dos meses.
- Tienen muy pocas publicaciones.
- Cuentan con muy pocos seguidores.
Por último, señalan desde ESET, los bancos jamás solicitarán el número de teléfono, número de DNI o clave por teléfono o por correo electrónico.
miércoles, 24 de agosto de 2022
ESET Latinoamérica, compañía líder en detección proactiva de amenazas, advierte sobre los falsos perfiles y las distintas modalidades de engaño que intentan aprovechar los estafadores que utilizan las plataformas de citas.
Ciudad de México – “Hice ‘match’ se ha convertido en una expresión común en el mundo de las citas, y decir “Estoy en Tinder” es sinónimo de “citas y disponible”. Con 75 millones de usuarios activos mensuales y 10,6 millones de suscriptores, en 10 años Tinder registró más de 70 mil millones de usuarios que hicieron “match” y que dieron lugar a 1,5 millones de citas por semana. ESET, compañía líder en detección proactiva de amenazas, explica que a medida que los usuarios se sienten más cómodos buscando pareja en el mundo digital, cualquiera sea la plataforma, es probable que también estén menos alertas y puedan ser víctimas de gente con malas intenciones.
El documental de Netflix, Tinder Swindler, popularizó la historia de distintas mujeres que han sido estafadas por el mismo hombre: una persona real, un perfil con varias fotos, cuentas de redes sociales vinculadas e incluso verificación de fotos, que logró robar 10 millones de dólares después de engañar a sus víctimas y atraerlas para que financien su lujoso estilo de vida. Al igual que él, hay muchas otras personas que buscan aprovecharse de las personas que anhelan conocer a alguien, ya sea para enamorarse y establecer una relación o solo por una noche.
Según ESET los tipos de estafas más comunes tanto en Tinder como otras plataformas de citas, son:
- Estafa del código de verificación en Tinder: En este caso un contacto con el que se hace match, contacta y pide si lo puedes ayudar recibiendo un código a tu teléfono. Este código suele ser la clave de verificación para acceder a tu cuenta de Facebook, Snapchat, WhatsApp o de tu cuenta bancaria.
También sucede que utilizando bots los estafadores se contactan con la persona que hicieron match con el perfil falso y de manera automatizada envían enlaces para verificar la cuenta. Los estafadores intentan sacar provecho de la posibilidad de verificar un perfil que ofrece Tinder para demostrar que las fotos son de una persona real y no de un perfil falso.
- Perfiles falsos: Esta es la estafa básica. Delincuentes crean perfiles falsos, ya sea utilizando imágenes de bancos que parecen extraídas del catálogo de una agencia de modelos o, por el contrario, utilizando imágenes super amateur, borrosas y sexualmente sugerentes. En ambos casos, lo más probable es que se trate de estafadores que intentan que el usuario deslice el dedo hacia la derecha.Una vez en contacto, con la excusa de que “no pasan mucho tiempo en Tinder”, solicitan el número de teléfono para conversar a través de WhatsApp y “conocerse mejor”. En esta etapa, ya se está entregando información personal y es más fácil para el estafador encontrar los perfiles de redes sociales, robar imágenes y recopilar otros datos.
- “Catfishing“: A veces, los estafadores no quieren dinero; en cambio, es posible que quieran atención o compañía. Existen muchas personas que crean perfiles falsos utilizando información personal, fotos y videos robados de otras personas, generalmente de alguien a quien estafaron previamente. Puede sonar inofensivo, pero este tipo de fraude puede causar mucha angustia y puede durar meses o años. Estos usuarios están listos para llevar sus mentiras tan lejos como sea necesario para que logren que se enamoren de ellos. Es importante tener cuidado con el “catfishing” ya que puede involucrar dinero y regalos, y pueden usarse para robar información personal, enviar software malicioso o incluso puede usarse como estrategia para llevar a cabo actividades de espionaje. Tinder permite conectar las cuentas de Instagram y Spotify al perfil como una forma de asegurar que la persona con la que se está hablando es real. Pero también es una gran fuente de información para cualquiera que cree una identidad falsa. Cuantos más detalles reales sobre alguien, más verosímil se siente todo.
- Sextorsión: “Enviar desnudos” y hacer “sexting”, dos actividades que son tan populares como profundamente riesgosas, convierten a las personas en un objetivo fácil para que los estafadores se aprovechen. A pesar de que es cada vez más común compartir fotos al desnudo, esto sigue siendo algo que la sociedad espera que sea privado. La sextorsión es un delito muy serio que puede generar mucho dolor y angustia e incluso ha provocado que algunas víctimas se quiten la vida. Los estafadores son muy conscientes del impacto que la exposición puede tener sobre las personas y buscan aprovecharse de ello. Como característica de seguridad, Tinder no permite que los usuarios compartan imágenes, pero una vez que fuera de su ecosistema en una aplicación diferente, los usuarios pueden convertirse en una presa fácil. Quienes extorsionan pedirán un dinero a cambio de mantener las fotos en privado. Muchas víctimas pagarán por miedo a la vergüenza o incluso a la posibilidad de perder su trabajo. Una vez que algún actor malicioso se apodera de las fotos es probable que la imágenes permanezcan en la web para siempre e incluso podrían venderse a otros sitios web sin conocimiento o consentimiento. También es importante tener en cuenta que si bien existe una modalidad de estafa en la que desconocidos envían correos electrónicos de forma inesperados afirmando que tienen imágenes o videos desnudos, la sextorsión involucra a alguien a un tercero a quien realmente se envió imágenes y es un delito.
- Suplantación de identidad: Estar en Tinder también implica que se está expuesto a un posible ataque de malware y/o de phishing. Es fácil que engañen para que se abra un enlace que no deberías o para que se comparta con un delincuente un código que le dará al atacante acceso a otras cuentas. Ya que una vez que se accede a una cita puede que el riesgo este en enlaces en los que no se chequea la seguridad, pueden ser de supuestas entradas a una obra o si se pide que comprar las entradas porque la tarjeta no funciona y, sin pestañear, se colocan los datos de la tarjeta de crédito y se presiona “comprar”. Quizás, sin notarlo se ingresaron los datos bancarios en un sitio web falso, creado con el único propósito de robar información y dinero. Mientras tanto, la cita de repente quitó el match y desapareció.
- Estafas románticas financieras: Esta estafa es la más difícil de detectar y también de realizar. Las estafas románticas existen desde siempre, pero con la digitalización los estafadores han logrado llegar mucho más lejos que nunca gracias a las apps y sitios de citas. Lo que hacen estos delincuentes es preparar a la víctima durante el tiempo que sea necesario para obtener algo a cambio. Son personas reales, con perfiles reales, pero con intenciones profundamente malas que no solo buscan a personas con altos ingresos: hacen que se paguen almuerzos y cenas caras, algo que muchos harán para impresionar, es suficiente para muchos. Además del impacto financiero obvio de esta estafa, también hay una angustia emocional importante que es difícil de evitar cuando uno comprende lo que acaba de pasar.
- Tinder y estafas criptomonedas: Existen diferentes modalidades de estafas con criptomonedas que comienzan en Tinder, pero que también están presentes en otras plataformas y apps de citas. Lo cierto es que los delincuentes han aprovechado la ingeniería social de las estafas románticas para llevar adelante engaños con el objetivo de robar criptomonedas. Interpol hace un tiempo publicó una alerta al respecto en la que advierte sobre posibles contactos que conocemos a través de estas apps que invitan a invertir en criptomonedas y buscan convencer a las personas de que descarguen una aplicación de trading y comiencen a hacer lo mismo. Sin embargo, el objetivo verdadero es robar el dinero.
Es fundamental saber cómo evitar situaciones de riesgo. A continuación, ESET comparte algunos pasos fáciles a seguir para mantenerse protegido:
- No salir de Tinder para continuar la conversación en otras aplicaciones de mensajería. Esto mantendrá el entorno más seguro donde se puede denunciar fácilmente a un estafador y de esta manera protegerse uno y también a otros usuarios.
- No abrir enlaces enviados a través de Tinder, especialmente si se tiene una URL corta.
- Si se decide continuar la conversación en otra aplicación, como WhatsApp, no enviar fotos tuyas que puedan ser utilizadas por un tercero para extorsionarte.
- Confiar en tu instinto. Si un perfil parece demasiado bueno para ser verdad o está demasiado incompleto, es preferible deslizar el dedo hacia la izquierda y protegerse de una posible estafa.
“Siempre tener en cuenta que el riesgo no solo está online, sino también en la vida real, por lo que es muy importante que consideres tu seguridad cuando te reúnas con alguien que conoces a través de la app. Por ejemplo, compartiendo tu ubicación con un amigo y eligiendo como punto de encuentro espacios públicos concurridos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: