Cuidado con esta estafa telefónica: se hacen pasar por tu banco o la compañía de la luz para robarte

Los estafadores se hacen pasar por proveedores de gas y electricidad o por entidades bancarias.
Los estafadores se hacen pasar por proveedores de gas y electricidad o por entidades bancarias.

La Oficina de Seguridad del Internauta (OSI) ha detectado una nueva campaña de ciberdelincuencia en la que los atacantes se hacen pasar por el servicio de atención al cliente de entidades para engañar a los usuarios. La OSI asegura que los cibercriminales se hacen pasar en este caso por bancos y proveedores de gas y electricidad.

Según la OSI, cuando los atacantes se hacen pasar por bancos, la excusa que ponen para la llamada es que “alguien ha accedido a nuestra cuenta y/o tarjeta”. Además, los ciberdelincuentes comentan que han llegado a realizar transacciones y que necesitan información sobre la firma digital para solucionar el problema.PUBLICIDAD

Por otro lado, en el caso de la suplantación de los servicios de atención al cliente de entidades proveedoras de gas y electricidad, los atacantes roban sobre todo los datos personales.

La Guardia Civil también ha alertado sobre la campaña en sus redes sociales, pidiendo a la ciudadanía que «no pique» en este tipo de estafas y que jamás ceda datos personales y bancarios:

Frente a esta campaña de vishing, la OSI ha facilitado información sobre lo que hay que hacer si ya se han proporcionado datos. “Contacta lo antes posible con tu entidad a través de los canales oficiales para informarles de lo sucedido y denuncia lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado”, explican en su publicación.

Asimismo, la oficina detalla que es importante recopilar “todas las evidencias y pruebas” para realizar la denuncia.

Por otro lado, también es importante buscar el nombre de la víctima para comprobar que no se han llevado a cabo acciones maliciosas bajo su identidad. En el caso de que sí se haya hecho algo delictivo con el nombre de la víctima, esta podrá ejercer sus derechos de acceso, rectificación, oposición y supresión al tratamiento de los datos personales. Para saber cómo hacerlo, lo ideal es pedir ayuda a la Agencia Española de Protección de Datos.

Además de informar sobre lo que hay que hacer en caso de haber caído en la trampa de los atacantes, la OSI también ofrece consejos para evitar ser víctima de estos fraudes. En primer lugar, recomiendan no dar ningún tipo de dato personal a desconocidos que llaman por teléfono.

También es aconsejable hacer comprobaciones sobre el usuario con el que se está hablando y, sí no inspira confianza o se duda de la autenticidad, es mejor cortar la comunicación. Después, se puede contactar con los canales oficiales de las entidades para cerciorarse de si lo que decían en la llamada es verdad o mentira.

Los servicios de atención al cliente ya cuentan con nuestros datos, por lo que no tiene sentido que los pidan. Es importante desconfiar ante este tipo de llamadas y alertar a las autoridades para que evitar que otra persona sea estafada.

Enlace a la noticia: https://www.20minutos.es/tecnologia/ciberseguridad/cuidado-con-esta-estafa-telefonica-se-hacen-pasar-por-tu-banco-o-la-compania-de-la-luz-para-robarte-4930670/

ESE EMAIL DE PHISHING CONTIENE UN ENLACE REAL DE UPS, PERO AL ABRIRLO PUEDES PERDER TODA TU INFORMACIÓN

Los actores de amenazas detrás de esta campaña usaron la vulnerabilidad XSS en el sitio web oficial de UPS para modificar una plataforma maliciosa y hacerla pasar por una página web legítima. La falla también permitió a los hackers la distribución de un documento de Word malicioso a través de una implementación remota de Cloudflare de forma sigilosa.

El mensaje enviado por los hackers está plagado de enlaces legítimos, aunque entre estos elementos se incluye un supuesto número de seguimiento que redirige al sitio web donde se aloja el exploit para la falla XSS que inyecta el código malicioso en el navegador de la víctima.

Si accedemos al enlace proporcionado en el correos nos ejecutara un virus el cual nos mostrara la pagina legitima de UPS.

El script de Cloudflare inyectado por la falla XSS, hará que el sitio web de UPS muestre la siguiente página de descarga:

Finalmente, la página descargará el documento de Word malicioso del proyecto Cloudflare del atacante. Esta campaña de phishing es inusualmente inteligente debido a que obliga al usuario afectado a visitar la URL maliciosa oculta como una dirección web legítima de UPS, lo que le brinda un mayor grado de éxito a la estafa.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://noticiasseguridad.com/hacking-incidentes/ese-email-de-phishing-contiene-un-enlace-real-de-ups-pero-al-abrirlo-puedes-perder-toda-tu-informacion/