¿Cómo roban los ciberdelincuentes las contraseñas?

¿Cómo roban los ciberdelincuentes las contraseñas? La empresa de ciberseguridad ESET recopila algunas de las técnicas más efectivas y usadas.

Una de las tareas más tediosas para un usuario es buscar una contraseña para proteger sus cuentas. Decimos tediosa porque nunca sabemos si es lo suficientemente segura para evitar problemas indeseados. Nos pasamos mucho tiempo pensando en una contraseña, y puede darse el caso de «agotamiento mental» y optar por la más fácil. Ya hemos caído en el primer error, el cual podría convertirse en una puerta de entrada para los ciberdelincuentes; una puerta enorme a decir verdad. ESET, compañía experta en ciberseguridad, ha querido enumerar algunos de los movimientos que más suelen usar los cibercacos para hacerse con nuestras contraseñas. La gran mayoría son muy conocidas, sobre todo para los que estamos inmersos dentro del sector; no obstante, hay un amplio sector de usuarios que las desconocen. Esta lista servirá para estar más al tanto de los ciberpeligros. ¿Cómo roban los ciberdelincuentes las contraseñas?

¿Cómo roban los ciberdelincuentes las contraseñas?

Phishing e ingeniería social

Phishing, smishing, vishing, y docenas de ishing… Estas técnicas de ataque son las preferidas por los ciberatacantes, sobre todo las que usan como cebo a entidades bancarias, empresas de mensajería o comercios electrónicos. Las víctimas, ajenas al embrollo en el que se pueden meter, no dudan en abrir el correo y descargar el archivo adjunto. Se dan muchos casos de esta índole, especialmente si hay Bancos de por medio. En estos casos, los usuarios se ponen nerviosos porque el mensaje suele mostrar un contenido negativo. En lugar de llamar al banco para comprobar la veracidad del mensaje, la víctima lo abre sin dudar y siegue las instrucciones proporcionadas por el ciberdelincuente. También entra en juego en estas técnicas la ingeniería social, logrando que hagamos cosas que no deberíamos.

Uso de Malware

Otra de las técnicas más populares y extensas que vemos tiene como protagonista al Malware. Raro es el día que no hablamos de un caso de malware que afecta a una empresa o a usuarios. Pueden entrar por cualquier dispositivo -PC, smartphone, tablets, etc.-, e ir camuflado de la forma más sorprendente posible. Podemos encontrarlos en correos electrónicos o en SMS, pero también en forma de app descargada a través de una Store digital. Existen casos de apps camufladas como juegos u otro software (linterna, para modificar caras, etc.) que se han usado para vulnerar la seguridad de los dispositivos. Los objetivos de estos malwares son variados, desde robar información hasta hacer capturas de pantalla del dispositivo y enviarlas a los ciberatacantes. Hay que extremar las precauciones.

Mediante Fuerza bruta

Uno de los errores más básicos que cometemos con las contraseñas es hacer uso de la misma para varias cuentas. Cuenta de banco, de Amazon, de redes sociales o de plataformas de streaming contratadas ligadas a la misma contraseña… El ciberdelincuente no es tonto, y si descubre la contraseña de nuestra red social intentará usarla para comprobar si es la misma, por ejemplo, de nuestra app de cuenta bancaria. A esta técnica se la denomina Fuerza Bruta, y consiste básicamente en introducir grandes volúmenes de combinaciones de nombres de usuario y contraseñas en un software automatizado. Esta herramienta prueba las credenciales en varios sitios para encontrar coincidencias. ESET estimó que en 2021 se produjeron 193.000 millones de intentos de esta clase.

Adivina, adivinanza

Quizás sea el método más simple y pobre, pero también el más efectivo. Nos duele la boca de decirlo, pero 1234567890 no es una contraseña segura, nuestra fecha de nacimiento no es una contraseña segura; password no es una contraseña segura. Así podríamos estar toda la mañana, pero no es plan… Por desgracia, estas contraseñas son muy usadas por el público, lo cual facilita enormemente la tarea a los ciberdelincuentes. Es tan sencillo como probar y esperar a ver si suena la flauta. Lamentablemente, la flauta suena más veces de lo que debería. La propia ESET ha publicado un estudio recientemente de las contraseñas más usadas en 2021; contraseñas que son inseguras para los usuarios. En  2021, como en anteriores, se siguió cometiendo el error de usar configuraciones muy vistas ya, tales como: 123456, 123456789 o 12345.

Mirar por encima del hombro

La última técnica mencionada se llama shoulder surfing, la cual consiste en algo tan sencillo como «mirar por encima del hombro». Un ciberdelincuente no actúa solo en redes, sino también en el mundo real. Podemos estar sacando dinero del cajero y, en un momento dado, alguien pasa por detrás nuestro y mira el PIN de la tarjeta crédito; estamos poniendo la contraseña de una red social en la calle y cerca nuestro hay alguien de dudosa moralidad y la ve… Tendemos a ser descuidados con estas cosas, y luego vienen los problemas. Hay que ser muy cuidadosos con las acciones que realizamos en la calle, sobre todo si hay gente de por medio. ¿Cómo roban los ciberdelincuentes las contraseñas?

Enlace a la noticia: https://cybersecuritynews.es/como-roban-los-ciberdelincuentes-las-contrasenas/

“CONFIRMACIÓN DEL PEDIDO”: NUEVO INTENTO DE ROBO DE TARJETAS SUPLANTANDO A AMAZON

Con el importante incremento de las compras online provocadas por los hábitos adquiridos durante la pandemia, no es de extrañar que los delincuentes traten de aprovechar la situación para conseguir nuevas víctimas suplantando empresas especializadas en la venta online y en la logística. Una de las empresas cuyo nombre es más utilizado por los delincuentes es Amazon, protagonista de nuevo de una campaña reciente que procedemos a revisar a continuación.

¿Esperando un pedido de Amazon?

Actualmente, el número de personas que están esperando recibir un pedido desde Amazon es lo suficientemente elevado como para que los delincuentes se centren en los clientes de esta empresa e intenten engañarles con correos electrónicos como este que recibimos recientemente.

Tal y como podemos observar, tanto el formato del correo como los colores y botones utilizados son prácticamente idénticos a los que se usan en las comunicaciones oficiales de Amazon por lo que es muy fácil confundir este correo por uno legítimo. Además, se ha suplantado la dirección del remitente para hacer creer a quien reciba este email que realmente ha sido enviado por Amazon.

En lo que respecta al mensaje, en él se nos indica que hemos sido seleccionados para recibir un premio, que puede ir desde un smartphone de gama alta hasta varios tipos de electrodomésticos. Hemos visto campañas similares desde hace varios meses, aunque este correo parece estar mejor preparado. En el caso de que pulsemos sobre alguno de los enlaces proporcionados en el correo seremos redirigidos a una web cuyo dominio no tiene nada que ver con el de Amazon pero que tiene un diseño similar al de esta empresa. En esta web se nos indicará que hemos sido elegidos para recibir un regalo a cambio de rellenar una sencilla encuesta. Para hacerlo todo más creíble, se han incluido comentarios de supuestos ganadores anteriores.

Tras varias sencillas preguntas que deberemos responder eligiendo una de las opciones disponibles llegaremos a otra web en la que se nos mostrarán tres de los supuestos regalos disponibles. Entre estos regalos encontramos un smartphone Android, un iPhone y un aspirador de alta gama, con el correspondiente botón para añadirlo a nuestra cesta.

A continuación, vemos como este regalo se ha introducido en nuestra supuesta cesta de Amazon. En este punto, los creadores de esta estafa no se han cortado a la hora de incluir el logo de la empresa para hacerlo todo más creíble y tratar de terminar de convencer a la víctima de que se encuentra en la web real de Amazon.

Sin embargo, a la hora de tramitar el pedido (por el cual solo se solicita aparentemente el pago de 1,99€) vemos como se nos redirige a otra web que no parece tener ninguna relación con Amazon. En este punto se nos piden nuestros datos personales, incluyendo el nombre, apellidos, dirección postal, teléfono y email.

Una vez rellenados los campos anteriores comprobamos el verdadero motivo de toda esta estafa, que no es otro que hacerse con los datos de nuestra tarjeta de crédito para así poder realizar pagos en nuestro nombre. Obviamente, los delincuentes van a utilizar estos datos ya sea para añadirlos a una lista de tarjetas robadas y, posteriormente, vendérsela a otros delincuentes o para cargarnos los pagos realizados con esta tarjeta.

Conclusión

A pesar de ser una técnica bastante conocida y antigua, los delincuentes siguen consiguiendo nuevas víctimas con este tipo de campañas. Tan solo tiene que ajustar un poco el contenido de los correos y webs utilizadas para tratar de ser más convincentes y engañar a unas pocas personas para que esta campaña salga rentable. Por ese motivo es muy importante estar alerta de este tipo de campañas y evitar seguir enlaces incrustados en correos no solicitados, siendo preferible acudir a la web oficial para confirmar o desmentir posibles estafas.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/09/confirmacion-del-pedido-nuevo-intento-de-robo-de-tarjetas-suplantando-a-amazon/

Campaña de pishing simulando que es Vodafone

El equipo de seguridad de Vodafone publicaba un mensaje en redes sociales alertando de una campaña fraudulenta de phishing. Básicamente, se trata de una encuesta que recibimos por correo electrónico y que nos promete regalarnos un iPhone XS, Samsung Galaxy S10 o Apple Watch sólo por participar.

Si te encuentras esta encuesta, NO RESPONDAS ni facilites NINGÚN DATO.