Si hay un esquema clásico de estafa vigente durante décadas y que ha sabido adaptarse a la perfección a la proliferación de Internet, sin duda ese es el de la carta nigeriana. Con precedentes (analógicos, por supuesto) que datan de principios del siglo XX, como el timo del entierro, la técnica basada en que la codicia nos haga desactivar los filtros de seguridad siempre se ha mostrado efectiva. ¿Quién no querría recibir, de repente, una fortuna? La clave se encuentra en, hasta qué punto, estamos dispuestos a engañarnos a nosotros mismos deseando que la posibilidad sea real.
Desde los primeros tiempos del spam, los ciberdelincuentes empezaron a explorar la versión digital de este tipo de engaños, siempre con el referente de la carta nigeriana, pero con múltiples variaciones sobre este modelo. Desde el capitán militar en Irak hasta la novia eslava, todos emplean reclamos excepcionales a cambio de una pequeña inversión en pago de impuestos, tasas, billetes de avión, etcétera. ¿El resultado? En todos los casos es el mismo, la desaparición absoluta tras hacer los pagos requeridos, y la sensación primero de incredulidad y después de vergüenza por haber caído en la trampa.
MS Recomienda
Por fortuna, la mayoría de estas estafas suelen ser bastante burdas, por lo que es sencillo identificarlas y descartarlas. La concienciación sobre el phishing ha evolucionado sustancialmente los últimos años, la inmensa mayoría de la población sabe que el banco no te va a enviar un email pidiéndote tus claves para desbloquear tu tarjeta y que esa persona desconocida que te escribe a través de WhatsApp no es un familiar o amigo en la distancia, sino un estafador.
El problema es cuando se produce el salto cualitativo de phishing a spearphishing. En este punto los filtros (me refiero a los del ser humano, los basados en el conocimiento previo y el sentido común) pierden una gran parte de su efectividad y, por tanto, nos ponen en una situación bastante más comprometida. La buena noticia es que, por el trabajo que exigen, son mucho menos comunes, la mala es que cada vez menos, y que con el volumen de información que se puede obtener sobre muchas personas simplemente mediante OSInt, confeccionar un ataque personalizado es cada vez más sencillo. Y si sumamos las bases de datos a la venta en la dark web, las facilidades se elevan exponencialmente.
Hace unas semanas supe, por un email de la propia compañía, que en un ataque a la empresa de alquiler de vehículos Sixt se habrían podido exponer algunos de mis datos personales. Concretamente, a ese respecto, esto es lo que se indicaba en dicho correo:
«En su caso, esto se refiere a ciertos datos maestros de cliente, como el nombre y apellidos, el número de tarjeta de cliente y los datos de contacto básicos (como la dirección postal y la dirección de correo electrónico). Actualmente no podemos descartar que otra información individual también pueda haberse visto afectada, como la resultante de los documentos relacionados con las reservas de alquiler de coches (en particular, el período de alquiler, el método de pago, así como la ubicación o el número de permiso de conducir).»
Cada poco tiempo, por desgracia, tenemos que informar sobre nuevas exfiltraciones de datos, datos que en muchas ocasiones son puestos a la venta, cuando no compartidos gratuitamente, y que por lo tanto pueden (y suelen) acabar en manos muy malintencionadas, que no dudarán ni un minuto en sacarles tanto partido como sea posible. Y el spearphishing es el uso más rápido, claro y evidente para dichos activos digitales.
En consecuencia, y como podemos leer en The Next Web, hay una tendencia cada vez más clara a sofisticar el esquema de los ataques mediante mensajes mucho más personales y cuidados, y el nivel de los mismos es tal que puede llegar a engañar incluso a expertos en ciberseguridad. Los estafadores están recorriendo las redes sociales, especialmente las relacionadas con negocios como LinkedIn, para dirigirse a las personas con mensajes personalizados. La fuerza de una relación entre dos personas se puede medir inspeccionando sus publicaciones y comentarios entre ellos. En el primer trimestre de 2022 , LinkedIn representó el 52% de todas las estafas de phishing a nivel mundial.
Los datos de Google Safe Browsing muestran que actualmente hay casi 75 veces más sitios de phishing que de malware en Internet. Casi el 20% de los empleados hacen clic en enlaces de correo electrónico de phishing y, de ellos, un sorprendentemente alto 68% introduce sus credenciales en un sitio web de phishing. En todo el mundo, las estafas por correo electrónico cuestan a las empresas casi 20.000 millones de dólares cada año. La investigación de la consultora empresarial y auditora fiscal BDO reveló que seis de cada diez empresas medianas del Reino Unido fueron víctimas de fraude en 2020, sufriendo pérdidas medias de 245.000 libras.
El phishing, durante algunos años el hermano pobre de otras disciplinas de cibercrimen, ha evolucionado de una manera más que evidente, y la enorme cantidad de información sobre nosotros que pulula por Internet (bajo nuestro control o no) es la pólvora perfecta para confeccionar la munición con la que seremos atacados.
¿Y qué podemos hacer? La clave es aplicar, a nuestro propio comportamiento, la base del paradigma zero-trust que tan exitoso se muestra para combatir el malware. De manera preventiva, quizá es el momento de replantearnos nuestro comportamiento en redes sociales, aunque éstas sean de perfil profesional. Y ante cualquier comunicación que se salga de lo normal, desde revisar las cabeceras de los correos electrónicos hasta recurrir a otros canales de comunicación para confirmar la autenticidad, todo suma en nuestra defensa. Y recuerda nuestros consejos para plantarle cara al phishing.
Fuente obtenida de: https://www.muyseguridad.net/2022/07/18/el-principe-nigeriano/
