Los ciberdelincuentes saben que la forma más fácil de pasar desapercibidos es hacerse pasar por una marca que conoces y en la que confías. Estas grandes empresas han pasado años en marketing, servicio al cliente, branding y consistencia para construir una reputación confiable, y los hackers aprovechan esto para atacarte.
El método más común es utilizar ataques de phishing. Estos ladrones configuran URL que parecen similares al sitio web real de la empresa. Para pasar desapercibidos.
Te explico algunos de los cambios simples que los hackers hacen y que pueden pasar inadvertidos:
Sustituir un cero por la letra “O” o una “i” mayúscula por una “L” minúscula. Si estás leyendo un correo electrónico rápidamente, podría parecer legítimo.
Agregar una palabra que parezca un subdominio de la empresa real, como “info@googleservice.com.”
Usar una extensión de dominio diferente, como “info@google.io.”
Algunos criminales llevan esto más lejos y crean una página web idéntica al sitio web real. Cuando haces clic en el enlace – a través de correo electrónico, SMS o incluso a través de redes sociales – pueden ocurrir varios resultados peligrosos.
Lo primero es que se puede instalar malware en tu computadora. Hacer clic en un enlace malicioso puede desencadenar una descarga automática de malware que contiene archivos maliciosos que pueden recopilar información personal identificable de tu dispositivo, como nombres de usuario, números de tarjetas de crédito o cuentas bancarias y más.
El segundo es que el sitio web falso tendrá un formulario para recoger tu información. Esto podría ser credenciales de inicio de sesión, contraseñas y, en algunos casos, tu información de crédito o bancaria.
El tercer problema más común es una redirección abierta. El enlace puede parecer legítimo, pero cuando haces clic en él, eres redirigido a un sitio web malicioso cuyo propósito es robar tu información.
¿De qué marcas debes tener cuidado? Pues, de todas, pero según el último Informe de Phishing de Marcas de Check Point, diez empresas encabezan la lista en cuanto a la frecuencia de intentos de phishing de marcas.
Aquí están las 10 marcas más frecuentemente imitadas en intentos de Phishing en el segundo Trimestre de 2023:
Microsoft (29%)
Google (19.5%)
Apple (5.2%)
Wells Fargo (4.2%)
Amazon (4%)
Walmart (3.9%)
Roblox (3.8%)
LinkedIn (3%)
Home Depot (2.5%)
Facebook (2.1%)
Tómate un minuto y pregúntate cuántas de las empresas de esta lista te envían comunicaciones por correo electrónico regularmente. Incluso solo una te pone en riesgo. Los ciberdelincuentes se esfuerzan al máximo con estas estafas. Saben qué mensajes funcionan mejor para cada empresa para captar tu atención.
A continuación, tres ataques de phishing comunes que los ciberdelincuentes han utilizado bajo el buen nombre de estas marcas para acceder a tu información privada.
Actividad Inusual: Estos correos electrónicos sugerirán que alguien ha accedido a tu cuenta y necesitas cambiar tu contraseña rápidamente. Aprovechan el miedo para que las personas hagan clic sin pensar, apresurándose a cambiar su contraseña antes de convertirse en víctimas del ataque.
Suelen tener botones que dicen, “Revisar Actividad Reciente” o “Haga Clic Aquí Para Cambiar Su Contraseña”. Estos correos electrónicos pueden llegar a mostrar información de inicio de sesión falsa detallando la región, la dirección IP, la hora de inicio de sesión y más, como lo hacen los mensajes reales de las empresas para convencerte de hacer clic.
Tarjetas de Regalo Falsas: Estos correos electrónicos sugieren que alguien te ha enviado una tarjeta de regalo electrónica. Cuando abres el correo electrónico, te redirige a un sitio web para “reclamar tu tarjeta de regalo” o tiene un botón para “canjear ahora.”
Verificación de Cuenta Requerida: Estos correos electrónicos sugieren que tu cuenta ha sido desconectada y necesitan que verifiques tu información. Tan pronto como ingresas tus credenciales de inicio de sesión, el hacker tiene acceso.
Estas estafas están ocurriendo todos los días. Eres un objetivo, pero también lo son los empleados desprevenidos en una empresa. Sin la capacitación adecuada, podrían no saber qué buscar, entrar en pánico y tratar de resolver estos “problemas” de manera encubierta, causando finalmente el problema.
Hay múltiples pasos para asegurarte de que tu red sea segura. Uno sería obtener un monitoreo de correo electrónico para ayudar a reducir la probabilidad de que estos correos de phishing terminen en tu bandeja de entrada. También es esencial asegurarse de que los empleados sepan qué buscar para que, si un correo electrónico pasa por el sistema de detección de phishing, puedan mantener tu empresa segura.
Lo mejor que puedes hacer es comenzar con una Evaluación de Riesgos de Ciberseguridad, en donde se evalúa tu red y se te proporciona un informe completo sobre las áreas donde eres vulnerable y qué hacer para solucionarlas. No hay obligación, pero debes saber dónde estás en riesgo. ¡Mantente seguro! Actúa antes que ellos.
Si quieres profundizar más o tienes alguna duda o sugerencia ¡Contáctame hoy!
