Última hora Portal de noticias 24/7
Los correos electrónicos de phishing son uno de los trucos más comunes que utilizan los estafadores, pero suelen ser fáciles de detectar si prestas atención. Gramática incómoda, detalles aleatorios y, lo más importante, una dirección de correo electrónico no oficial son indicios claros. Por ejemplo, es posible que recibas un correo electrónico que diga que tu ID de Apple ha sido deshabilitada, pero que el correo electrónico del remitente en realidad no será de Apple. Ahora, sin embargo, los estafadores están encontrando formas de evitar esto.
Según el FBI, ha habido un aumento reciente en los servicios cibercriminales que utilizan cuentas de correo electrónico policiales y gubernamentales pirateadas para enviar citaciones y solicitudes de datos falsas a empresas tecnológicas con sede en Estados Unidos.
REGALO UNA GIFT CARD DE $500 PARA LAS VACACIONES
Entrar por registrándose ¡Para mi boletín gratuito!
Ilustración de un estafador en el trabajo (Kurt “CyberGuy” Knutsson)
Lo que necesitas saber
El FBI ha visto un aumento en las publicaciones en foros criminales sobre solicitudes de datos de emergencia y credenciales de correo electrónico robadas de departamentos de policía y agencias gubernamentales. Los ciberdelincuentes están accediendo a cuentas de correo electrónico comprometidas de gobiernos estadounidenses y extranjeros y las utilizan para enviar solicitudes de datos de emergencia falsas a empresas con sede en EE. UU., lo que expone los datos de los clientes para un mayor uso indebido en otros delitos.
En agosto de 2024, un ciberdelincuente popular en un foro en línea anunció la venta de “correos electrónicos .gov de alta calidad”, destinados a espionaje, ingeniería social, extorsión de datos, solicitudes de datos de emergencia y más. La lista incluso incluía credenciales estadounidenses, y el vendedor afirmó que podía guiar a los compradores sobre cómo realizar solicitudes de datos de emergencia e incluso vender documentos de citación robados reales para ayudarlos a hacerse pasar por agentes de la ley.
Otro ciberdelincuente se jactó de poseer correos electrónicos gubernamentales de más de 25 países. Afirmaron que cualquiera puede usar estos correos electrónicos para enviar una citación a una empresa de tecnología y obtener acceso a nombres de usuario, correos electrónicos, números de teléfono y otra información personal del cliente. Algunos estafadores incluso están organizando una “clase magistral” sobre cómo crear y enviar sus propias solicitudes de datos de emergencia para extraer datos de cualquier cuenta de redes sociales, cobrando $100 por el resumen completo.
Ilustración de un estafador en el trabajo (Kurt “CyberGuy” Knutsson)
UN DEFECTO DE WINDOWS PERMITE A LOS HACKERS INGRESAR A SU PC A TRAVÉS DE WI-FI
Cómo funciona esta estafa de phishing
Cuando las autoridades, ya sean federales, estatales o locales, quieren información sobre la cuenta de alguien en una empresa de tecnología, como su dirección de correo electrónico u otros detalles de la cuenta, normalmente necesitan una orden judicial, una citación o una orden judicial. Cuando una empresa de tecnología recibe una de estas solicitudes de una dirección de correo electrónico oficial, debe cumplirla. Entonces, si un estafador obtiene acceso a un correo electrónico del gobierno, puede falsificar una citación y obtener información sobre casi cualquier persona.
Para eludir la verificación, los estafadores suelen enviar solicitudes de datos de emergencia, alegando que la vida de alguien está en riesgo y que los datos se necesitan con urgencia. Como las empresas no quieren demorarse en caso de una emergencia real, pueden entregar la información, incluso si la solicitud resulta ser falsa. Al presentarlo como una situación de vida o muerte, los estafadores dificultan que las empresas se tomen el tiempo para verificar la solicitud.
Por ejemplo, el FBI informó que a principios de este año, un conocido cibercriminal publicó fotografías en un foro en línea de una solicitud de datos de emergencia falsa que habían enviado a PayPal. El estafador intentó hacer que pareciera legítimo utilizando un tratado fraudulento de asistencia legal mutua, alegando que era parte de una investigación local sobre trata de niños, completa con un número de caso y un código legal para su verificación. Sin embargo, PayPal reconoció que no se trataba de una solicitud real de las autoridades y la negó.
Ilustración de una persona que recibe un correo electrónico de phishing (Kurt “CyberGuy” Knutsson)
LOS CIBERESTAFADORES UTILIZAN LA IA PARA MANIPULAR LOS RESULTADOS DE BÚSQUEDA DE GOOGLE
¿Qué pueden hacer las empresas para evitar caer en estas estafas de phishing?
1) Verificar todas las solicitudes de datos: Antes de compartir información confidencial, las empresas deben verificar cada solicitud de datos, incluso aquellas que parezcan legítimas. Establecer un protocolo para confirmar las solicitudes directamente con la agencia u organización que supuestamente las envió.
2) Fortalecer la seguridad del correo electrónico: Utilice protocolos de autenticación de correo electrónico como DMARC, SPF y DKIM para bloquear correos electrónicos de fuentes no autorizadas. Implemente filtros antiphishing para detectar contenido sospechoso en los mensajes.
3) Capacitar a los empleados sobre la concientización sobre el phishing: Las sesiones periódicas de capacitación sobre estafas de phishing pueden ayudar a los empleados a reconocer señales de alerta, como lenguaje urgente, solicitudes inusuales o correos electrónicos de direcciones desconocidas. Se debe alentar a los empleados a denunciar correos electrónicos sospechosos.
4) Limitar el acceso a datos sensibles: Restrinja quién puede ver o compartir datos confidenciales de los clientes. Menos personas con acceso significan menos posibilidades de que se produzcan fugas de datos accidentales o intencionales.
5) Implementar procedimientos de verificación de emergencia: Tenga implementado un proceso de verificación claro para solicitudes de datos de “emergencia”, incluidos pasos para verificar con la alta gerencia o los equipos legales antes de responder a cualquier solicitud urgente de información del cliente.
Ilustración de un estafador en el trabajo (Kurt “CyberGuy” Knutsson)
¿Hay algo que debas hacer?
Esta estafa de phishing en particular se dirige principalmente a grandes empresas de tecnología, por lo que no hay mucho que puedas hacer directamente. Sin embargo, es un recordatorio de que no debes confiar automáticamente en un correo electrónico, incluso si proviene de una dirección .gov. Aquí hay algunos pasos que puede seguir para mantenerse a salvo.
1) Vuelva a verificar las direcciones de correo electrónico y los enlaces: Incluso si un correo electrónico parece oficial, tómate un momento para verificar la dirección de correo electrónico del remitente y coloca el cursor sobre los enlaces para ver a dónde conducen realmente. Tenga cuidado si algo parece extraño. La mejor manera de protegerse de enlaces maliciosos es tener instalado un software antivirus en todos sus dispositivos. Esta protección también puede alertarle sobre correos electrónicos de phishing y estafas de ransomware, manteniendo seguros su información personal y sus activos digitales. Obtenga mis selecciones para los mejores ganadores de protección antivirus de 2024 para sus dispositivos Windows, Mac, Android e iOS.
2) Habilite la autenticación de dos factores (2FA): Usar 2FA para todas las cuentas sensibles. Esta capa adicional de seguridad ayuda a protegerlo incluso si sus credenciales de inicio de sesión se ven comprometidas.
3) Manténgase actualizado sobre las estafas de phishing: Esté atento a las últimas tácticas de phishing para saber a qué prestar atención. Las actualizaciones periódicas le ayudan a detectar nuevos tipos de estafas antes de que le afecten.
4) Verificar solicitudes sospechosas: Si recibe un correo electrónico inesperado solicitando información confidencial, comuníquese con el remitente directamente a través de un canal oficial para confirmar la solicitud.
Ilustración de un estafador en el trabajo (Kurt “CyberGuy” Knutsson)
NO DEJES QUE LOS SNOOPS CERCANOS ESCUCHEN TU CORREO DE VOZ CON ESTE CONSEJO RÁPIDO
La conclusión clave de Kurt
Los estafadores están llevando los correos electrónicos de phishing a un nivel completamente nuevo. A menudo recomiendo revisar el correo electrónico cuidadosamente cuando reciba algo sospechoso para ver si es legítimo. Pero ahora, dado que los estafadores pueden incluso acceder a correos electrónicos gubernamentales, es necesario tener mucho cuidado. Esta estafa de phishing parece apuntar principalmente a las grandes empresas de tecnología, por lo que les corresponde a ellas fortalecer su seguridad y verificar minuciosamente cada solicitud antes de compartir cualquier información del usuario. También depende de los gobiernos de todo el mundo proteger sus activos digitales para que no se vean comprometidos.
¿Cuál es su postura sobre cómo los gobiernos están manejando la ciberseguridad? ¿Están haciendo lo suficiente para proteger los datos confidenciales? Háganos saber escribiéndonos a Cyberguy.com/Contacto.
HAGA CLIC AQUÍ PARA OBTENER LA APLICACIÓN FOX NEWS
Para obtener más consejos técnicos y alertas de seguridad, suscríbase a mi boletín informativo gratuito CyberGuy Report dirigiéndose a Cyberguy.com/Newsletter.
Hazle una pregunta a Kurt o cuéntanos qué historias te gustaría que cubramos..
Siga a Kurt en sus canales sociales:
Respuestas a las preguntas más frecuentes sobre CyberGuy:
Nuevo de Kurt:
Copyright 2024 CyberGuy.com. Reservados todos los derechos.
Comments are closed.