La época más bonita del año es conocida por sus generosas ventas, la alegría navideña y los regalos que nos llegan desde Oriente. Desgraciadamente, también es un buen momento para los estafadores, que roban datos personales y dinero, precisamente cuando todo el mundo se está divirtiendo y bajando la guardia. En esta época del año, los expertos de Kaspersky han identificado casos de phishing creados en torno a la temporada de regalos de Navidad y Reyes: los estafadores disfrazan el robo de datos personales y fondos como obsequios navideños.
Estafas de phishing dirigidas a cuentas personales:
Algunos sitios de phishing tienen como objetivo obtener datos infiltrándose en las redes sociales personales y las cuentas de mensajería de los usuarios bajo diversas formas. Solicitan información y una vez enviada, se transmite directamente a los estafadores. Uno de estos incidentes de phishing se produjo recientemente en Singapur. Los ciberdelincuentes crearon un sofisticado sitio de phishing dirigido a personas con la promesa de pagos en el nuevo año, supuestamente del Ministerio de Finanzas de Singapur. Este sitio engañoso fue diseñado para imitar la marca del ministerio, dándole un aire de credibilidad. Para recibir el pago, se pidió a los visitantes que ingresaran los detalles de su cuenta de Telegram.
Una vez que el usuario ingresa los detalles de la cuenta de Telegram, los estafadores pueden obtener acceso completo a la cuenta, lo que potencialmente conduce al robo de identidad digital, acceso a conversaciones privadas y la capacidad de hacerse pasar por la víctima para realizar más actividades maliciosas.
Sitios de phishing que imitan a los bancos al comprar los regalos
Otra técnica de phishing diseñada es en la que participan los bancos. Como Reyes es una época de ofertas, los estafadores han creado sitios de phishing que invitan a los usuarios a participar en regalos destinados a obtener los datos bancarios de las víctimas para robarles.
Un caso de estafa de Año Nuevo estuvo dirigido específicamente a ciudadanos filipinos. En este esquema, se dirigía a las personas a un sitio web donde se les incitaba a hacer girar una rueda para tener la oportunidad de ganar una suma de dinero. Después del giro, a los usuarios se les mostraron sus supuestas ganancias y se les pidió que seleccionaran entre varios bancos donde se podrían depositar los supuestos fondos. Después de hacer la selección, los usuarios se encontraban en sitios de phishing diseñados para imitar interfaces bancarias online. Esta táctica engañosa fue el último paso de la estafa, cuyo objetivo era estafar a las víctimas obteniendo acceso a sus credenciales bancarias y, en última instancia, a sus fondos.
Cajas de regalo criptográficas falsas sin Pokémon
Hay mucho en juego en el mercado de las criptomonedas. Robar una billetera con incluso unas pocas décimas de bitcoin ya genera beneficios significativos para los estafadores, por lo que se esfuerzan mucho en crear correos electrónicos y sitios de phishing creíbles, lo que dificulta que el usuario note algo incorrecto.
En uno de esos casos, los estafadores crearon una página de phishing copiando la oferta oficial de Courtyard.io, un sitio web que permite a los usuarios convertir objetos coleccionables físicos en tokens. El sitio original Courtyard.io invitaba a los usuarios a registrarse y comprar una caja de Nochevieja que contenía una tarjeta Pokémon. Entonces, los estafadores crearon una página de phishing con la misma oferta, sin embargo, para recibir la caja sorpresa, los visitantes tenían que conectar una billetera criptográfica, lo que resultaba en el robo de sus fondos.
"Los estafadores son creativos y astutos. Por eso, debemos verificar todas esas ofertas especiales que provienen de correos electrónicos desconocidos. Afortunadamente, aquí podemos recurrir a alguna solución integral de ciberseguridad que protegerá los datos personales y el dinero, y evitará que actores maliciosos nos roben estos días", comenta Olga Svistunova, analista senior de contenido web de Kaspersky.
Para evitar estafas relacionadas con la temporada de donaciones, los expertos de Kaspersky comparten algunos consejos sencillos:
1. Verifica la fuente. Antes de aceptar cualquier oferta especial, verifica la legitimidad de la fuente. Si es de una marca u organización conocida, consulta su sitio web oficial o canales de redes sociales para confirmar las campañas de obsequios.
2. Escribe la URL en la barra de direcciones. No abras el enlace del correo electrónico: podría ser un enlace de phishing. Siempre que sea necesario abrir un sitio web, es mejor escribir su URL en la barra de direcciones evitando cualquier enlace en el correo electrónico.
3. Busca las señales de alerta en la oferta. Ten cuidado con las ofertas que parecen demasiado buenas para ser verdad, como ganar una gran suma de dinero o premios costosos con poco o ningún esfuerzo. Esto es especialmente complicado cuando se trata de transacciones con criptomonedas: los estafadores harán todo lo posible para que una oferta parezca válida.
4. No compartas información personal. Los obsequios legítimos rara vez solicitan información personal confidencial por adelantado. Ten cuidado con cualquier solicitud de detalles como números de cuenta bancaria, contraseñas o números de la Seguridad Social.