Site icon Sophos News

Mejoran la estafa de “inicio de sesión sospechoso”: ten cuidado en Navidad

Paris

El Black Friday ha quedado atrás, esa cosa del fútbol que hacen cada cuatro años ha terminado (enhorabuena -¡alerta de spoiler! – a Argentina), es el solsticio de verano/invierno (táchese lo que no proceda) y nadie quiere quedarse fuera de sus cuentas en las redes sociales, especialmente cuando es el momento de enviar y recibir felicitaciones estacionales.

Así que, aunque ya hemos escrito antes sobre este tipo de estafa de phishing, hemos pensado en presentarte un recordatorio oportuno del tipo de engaño que puedes esperar cuando los ciberdelincuentes intentan perder tus contraseñas de redes sociales.

Hacemos clic por ti

Como se supone que una imagen vale más que 1024 palabras, te mostraremos una secuencia de capturas de pantalla de una reciente estafa en las redes sociales que nosotros mismos recibimos.

En pocas palabras, hicimos clic para que tú no tuvieras que hacerlo.

Esta empezaba con un correo electrónico que pretende velar por tu seguridad y protección online, aunque en realidad está intentando socavar por completo tu ciberseguridad:

Aunque es posible que en el pasado hayas recibido correos electrónicos de aspecto similar de uno o varios de los proveedores de tus cuentas online, y aunque éste no tiene errores ortográficos o gramaticales flagrantes, de hecho, aunque fuera un correo electrónico auténtico de Instagram (¡no lo es!), puedes protegerte mejor simplemente no haciendo clic en ningún enlace que recibas por correo electrónico.

Si tienes tu propio marcador para las páginas de ayuda de Instagram, investigado y guardado cuando no estabas bajo ninguna presión de ciberseguridad, puedes simplemente ir a Instagram directamente.

De este modo, evitarás cualquier riesgo de que el texto azul (el enlace en el que se puede hacer clic) del correo electrónico te lleve por mal camino, independientemente de que sea real o falso, funcione o esté roto, sea seguro o peligroso.

El problema de hacer clic

Si haces clic, tal vez porque tienes prisa o porque te preocupa lo que pueda haber pasado con tu cuenta, entonces empiezan los problemas, con una página falsa que parece bastante realista.

Los ladrones fingen que alguien, presumiblemente alguien que disfruta de sus propias vacaciones en París, ha intentado acceder a tu cuenta:

Deberías sospechar del nombre del servidor que aparece en la barra de direcciones en esta estafa (lo hemos borrado aunque no se parecía en nada a instagram.com), pero podemos entender por qué tantos usuarios se ven atrapados por dominios falsos.

Esto se debe a que muchos servicios legítimos en línea hacen casi imposible saber qué esperar en la barra de direcciones, como explicó el experto de Sophos (y popular invitado del podcast Naked Security) Chester Wisniewski en el Mes de la Concienciación sobre Ciberseguridad.

En esta estafa, tanto si haces clic en [Este no era yo] como en [Este era yo], los estafadores te llevan por el mismo camino, preguntándote primero por tu nombre de usuario:

La redacción se ha vuelto un poco torpe en la siguiente pantalla, en la que los delincuentes piden tu contraseña, pero sigue siendo bastante creíble:

Un error falso

A continuación, los estafadores fingen que has cometido un error y te piden no solo que escribas tu contraseña por segunda vez, sino que también  añadas un poco más de información personal sobre tu ubicación:

No todas las estafas de phishing de este tipo utilizan el truco de “tu contraseña es incorrecta”, pero es bastante habitual.

Sospechamos que los estafadores hacen esto porque todavía circulan consejos de seguridad dudosos que dicen: “Puedes detectar fácilmente un sitio fraudulento introduciendo primero deliberadamente una contraseña falsa; si el sitio te deja entrar de todos modos, es obvio que no conoce tu contraseña real”.

Si sigues este consejo (por favor, no lo hagas: solo te da una falsa sensación de seguridad), podrías llegar a la peligrosa conclusión de que el sitio seguramente conoce tu contraseña real y, por tanto, debe ser auténtico, dado que parece saber que has introducido una contraseña incorrecta.

Por supuesto, los delincuentes pueden decir con seguridad que te equivocaste de contraseña la primera vez, aunque no fuera así.

Si te equivocaste , los delincuentes pueden simplemente fingir que “saben” que era incorrecta para atraparte y que continúes con la estafa.

Pero si estás seguro  que realmente pusiste la contraseña correcta, y por tanto el falso mensaje de error te hace sospechar es demasiado tarde, porque los estafadores ya te han timado.

Una última pregunta

Si sigues adelante, los estafadores intentarán sonsacarte un dato personal más, concretamente tu número de teléfono:

Y para que salgas suavemente de la estafa, los estafadores terminan redirigiéndote a la auténtica página de inicio de Instagram, como si quisieran invitarte a confirmar que tu cuenta sigue funcionando correctamente:

¿Qué hacer?

Izquierda. Utiliza la opción “Privacidad” en la página de Configuración de Instagram para hacer que tu cuenta sea privada. Derecha. Activa el control deslizante “Cuenta privada”.
Exit mobile version