Comienza la temporada de ciberestafas. Cuando se acercan las fiestas, los ciberdelincuentes intentan aprovecharse de la generosidad de las personas y del espíritu navideño. Por eso es fundamental estar alerta.
Si bien aún es pronto para detectar y analizar las tendencias estacionales, prevemos que surjan algunas técnicas de engaño nuevas y emergentes que pongan de manifiesto la creatividad de los atacantes, junto con las eficaces tácticas empleadas en temporadas anteriores.
Desde la IA generativa que ayuda en los ataques por teléfono (TOAD) hasta la omisión de la autenticación multifactor (MFA) que suele usarse en los avisos de envío de paquetes, estas son cinco predicciones sobre los timos y estafas típicos de la época navideña. Estos son los trucos y tendencias que posiblemente observaremos en el panorama de amenazas de este invierno.
1. La IA generativa complicará aún más la detección de amenazas
¿Qué ha estallado desde las últimas navidades? Pues un fenómeno que se llama inteligencia artificial (IA) generativa. Esta nueva tecnología podría revolucionar el proceso para diseñar los mensajes que incluyen esas ofertas que son demasiado buenas para ser verdad. Los mensajes falsos de envío de paquetes son el eterno favorito de los atacantes y siempre son más frecuentes durante las fiestas navideñas. Nadie quiere problemas con los artículos que se han pedido o los paquetes que se han enviado.
El año pasado muchos mensajes de phishing sobre envíos navideños levantaban sospechas por contener señales de alerta, como errores gramaticales y estructuras gramaticales no nativas. Esto se detecta a simple vista. Sin embargo, este año prevemos que muchos ciberdelincuentes utilicen IA generativa para redactar sus mensajes y textos, lo que podría complicar la detección.
Por lo tanto, para determinar si un mensaje de correo electrónico sobre un envío navideño es un timo, hay que ir a un nivel más profundo. Examine detenidamente estos mensajes y conteste a estas preguntas:
- ¿Es un mensaje genérico o personalizado?
- ¿Se le solicita información confidencial innecesaria?
- ¿Coincide el "display name" (nombre mostrado) con la dirección de correo electrónico? (Esta es una lista de verificación de seguridad que se aprende durante la formación para concienciar en materia de seguridad).
- ¿Se le ha solicitado que pague algún importe para recibir el paquete? (Nota: en tal caso, es mejor negarse a la entrega hasta que pueda comprobar que el envío es legítimo).
2. Los timos TOAD pueden incrementarse gracias a la IA
Los timos telefónicos (TOAD) ya se incluyen en el kit de herramientas de amenazas; los atacantes presionan a las víctimas para que lleven a cabo acciones no seguras por teléfono. Utilizar la IA generativa para redactar textos puede aumentar la credibilidad de los ataques TOAD que usan temas relacionados con las fiestas navideñas.
¿Necesita cancelar la compra de un regalo caro con cargo a su tarjeta de crédito o aceptar una oferta de viajes con un enorme descuento? ¡Contacte con este centro de llamadas (falso)! Si un mensaje de correo electrónico generado mediante IA imita a una empresa legítima, hay más probabilidades de que la víctima marque el número de teléfono que se le indica.
La IA generativa también ofrece oportunidades de ampliar los timos sobre la temporada navideña en otros lugares del mundo. Por ejemplo, todas las navidades y días de Año Nuevo, vemos timos de vacaciones en inglés dirigidos a un público occidental, pero también hay un enorme volumen de viajes y celebraciones en torno al Año Nuevo Lunar en China, Corea del Sur, Vietnam y Hong Kong. Si bien hasta ahora los ciberdelincuentes carecían del conocimiento de la cultura o el idioma de la población de estos países, ahora pueden utilizar herramientas de IA disponibles para buscar rápidamente experiencias adecuadas para este público y crear señuelos localizados y atractivos.
Por suerte hay pocas probabilidades de que la IA generativa pueda mejorar la interacción con el centro de llamadas fraudulento. Si llama al número indicado en el ataque TOAD, todavía se podrán detectar las señales de aviso. Por ejemplo, extreme las precauciones si el "operador":
- Claramente sigue un guion.
- Le presiona para que realice una acción.
- Habla con el acento de una región que, según lo aprendido durante la formación para concienciar en materia de seguridad, suele ser origen frecuente de fraudes de centros de llamadas.
3. Podrían aumentar los casos de omisión de MFA
La omisión de autenticación multifactor (MFA) aumentó el año pasado y seguimos observando un incremento del número de trampas que emplean esta técnica. El atacante roba las credenciales de la cuenta en tiempo real interceptando el código breve de MFA cuando la víctima lo escribe en una página de inicio de sesión de cuenta falsa o vulnerada.
La omisión de MFA es una tendencia que sigue vigente, por lo que este año esperamos ver estas técnicas en las estafas con temas navideños. Las empresas envían numerosos mensajes de confirmación de pedidos y avisos de envíos durante las navidades. Normalmente los destinatarios están deseando iniciar sesión en su cuenta de UPS, FedEx o DHL, sobre todo cuando esperan paquetes de regalos que deben llegar a tiempo y están preocupados.
Probablemente los atacantes aprovechen este aumento de tráfico y la ansiedad de los consumidores. Suelen diseñar mensajes de phishing con temas navideños que se mezclan entre los mensajes reales y se diseñan siguiendo el patrón de los avisos legítimos. De esta forma, es más fácil dirigir a los consumidores a páginas de inicio de sesión en cuentas comprometidas o sitios con aspecto parecido a uno legítimo, para interceptar y capturar las credenciales de MFA.
Para evitar el robo de credenciales de MFA, es conveniente no interactuar con mensajes de compras y envío de paquetes inesperados. No haga clic en enlaces de mensajes de correo electrónico o de texto no solicitados o inusuales. Si desea confirmar una compra o la entrega de un paquete, vaya directamente a la fuente legítima escribiendo la dirección del sitio web o llamando a un número de contacto conocido.
4. Los timos con tarjetas regalo siguen siendo populares
Las tarjetas regalo son una opción cómoda y muy utilizada, incluso entre los ciberdelincuentes. Por este motivo, las estafas basadas en estas tarjetas son una amenaza preeminente que se incrementa durante la época de regalos navideños. Este tipo de ataques Business Email Compromise (BEC) se basan en una campaña de ingeniería social en la que los ciberdelincuentes fingen ser un alto directivo que necesita ayuda para organizar el pago de primas a los empleados con motivo de la Navidad.
Esta estafa navideña suele comenzar en el lugar de trabajo con un breve mensaje de texto o correo electrónico que comprueba cómo acoge el destinatario esta idea. A continuación se envían otros mensajes que solicitan que compre tarjetas regalo de gran valor utilizando fondos de la empresa o pagando por adelantado con la promesa de obtener un reembolso. ¿Cuál es su objetivo? Engañarle para que envíe los números de las tarjetas regalo y los números PIN para desbloquearlas.
Estos timos suelen ser muy creíbles, ya que abusan de la confianza que tiene en sus relaciones personales y profesionales. Además, juegan con las emociones de la víctima, como sentirse orgulloso de que un directivo le contacte o participar en una iniciativa positiva que puede hacer felices a los demás.
Estas navidades es importante estar alerta para detectar señales de aviso, como los mensajes que recurren al chantaje emocional. Además, debe contactar a través de otro canal con el directivo que supuestamente ha realizado la petición para verificar que es cierta.
5. Los timos de supuestas ONG suelen conseguir donativos para el ciberdelincuente
Los ciberataques con frecuencia se diseñan para sacar partido de las emociones personales y los timos para conseguir donativos en temporada navideña son un buen ejemplo de esto. Los ciberdelincuentes crean organizaciones sin ánimo de lucro falsas o sitios web que imitan los de otras bien conocidas. Los atacantes siguen usando año tras año mensajes de phishing sobre organizaciones humanitarias porque funcionan para conseguir su objetivo.
En estas fiestas, es de esperar que los atacantes recurran a conocidas y conmovedoras peticiones de donativos para "regalar una cena" o ayudar a personas que necesitan cobijo durante el invierno. También es probable que los ciberdelincuentes den un giro a sus campañas, usando temas de interés periodístico como señuelos. Así que, no se sorprenda si aparecen timos navideños en los que se hace mención a situaciones humanitarias, desastres naturales y zonas de conflicto actuales.
Las precauciones para detectar timos de donativos durante las navidades no deben limitarse al correo electrónico y los mensajes de texto, ya que los atacantes utilizarán todos los canales disponibles a su alcance. Pueden emplear tácticas similares en llamadas telefónicas, redes sociales, material impreso y anuncios que inducen a error.
La mejor forma de evitar a los impostores es comunicarse directamente con organizaciones benéficas legítimas y programas de ayuda consolidados. Por ejemplo, contacte con una organización escribiendo la dirección web de confianza en el navegador, en lugar de hacer clic en enlaces sobre donativos incluidos en mensajes no solicitados.
Comience ya con nuestro kit gratuito
A medida que se acerque el período navideño, observaremos si aparecen estas tendencias y técnicas de estafa, en qué medida las utilizan los atacantes y cuál es su impacto.
Mientras tanto, ¿cómo asegurarse de que los mensajes y redes con los que interactúan sus empleados son fiables? ¿Y cómo ayudarles a evitar los que no lo son?
La mejor forma de ayudar a sus empleados a protegerse es proporcionarles formación de concienciación en materia de seguridad. El kit gratuito Felices fiestas de 2023 de Proofpoint puede ayudarle. Ofrecemos cuatro semanas de contenido sugerido para impulsar sus iniciativas de concienciación en materia de seguridad durante las fiestas de diciembre y el año nuevo. El kit incluye lo siguiente:
- Semana 1: Aprenda lo básico para comprar con seguridad.
- Semana 2: Reconozca los mensajes de phishing sobre viajes.
- Semana 3: Identifique los cibertimos que piden ayuda.
- Semana 4: Cierre la campaña con un juego de palabras Ad-Libs.