Cyber ​​Security Today: no caiga en esta estafa de quejas, sexo por correo electrónico y tenga cuidado con este sofisticado fraude telefónico bancario

No caiga en esta estafa de queja, sexo en el correo electrónico y tenga cuidado con este sofisticado fraude telefónico bancario.

Bienvenido a Cyber ​​Security Today. Es lunes 27 de abril. Soy Howard Solomon, reportero colaborador en ciberseguridad para ITWorldCanada.com.

En los dos años más o menos Al hacer este podcast, he detallado una serie de estafas por correo electrónico, pero acabo de encontrar una nueva: La estafa de «Queja del cliente». Esto está dirigido a los empleados. Una víctima recibe un correo electrónico de alguien con autoridad, tal vez un abogado, diciendo que su cuenta será debitada debido a una queja del cliente. Haga clic en el enlace para ver la queja. Muchas personas no pensarían si realmente tienen una cuenta con esa organización, se preocuparán por la palabra «queja». Entonces se verán tentados a investigar. Sin embargo, el enlace conduce a un documento infectado para robar datos y atacar otras computadoras de la compañía. El sitio de noticias Bleeping Computer se encontró con esto, parte de una campaña de correo electrónico con una variedad de mensajes que incluyen estafas relacionadas con COVID-19, como informes de nómina y listas de terminación de empleados. Todos los documentos ofrecidos en estos mensajes falsos están alojados en Google Docs. Una señal de que esto es falso: la dirección de correo electrónico del remitente. Una vez más, sospeche de los mensajes con archivos adjuntos.

Aquí está otro reciente campaña de correo electrónico que utiliza un viejo truco, el sexo, como señuelo. Vendedor de seguridad Informes de prueba de detección correos electrónicos a principios de este mes que fueron enviados a miles de estudiantes universitarios y profesores de los EE. UU. con dos fotos de mujeres atractivas. Se pide a los destinatarios que hagan clic en la imagen de la que les gusta. Eso desencadena un proceso que descarga malware. Esta estafa por correo electrónico también se envió a los empleados de varias industrias. Con suerte, nadie cayó por ello.

La mayoría de mis podcasts lidiar con estafas en línea, pero también hay fraudes telefónicos sobre los que vale la pena informar. La semana pasada reportero de seguridad Brian Krebs se encontró con este. Se necesita un poco de información, así que por favor sea paciente. Un hombre llamado «Mitch» casi perdió cerca de $ 10,000 en una elaborada artimaña bancaria. Una persona que llamaba fingió ser de su institución financiera y advirtió que se había detectado fraude en su cuenta. Una de las cosas que fue persuasiva fue que el identificador de llamadas en el teléfono de «Mitch» era el mismo que el número que figura en el reverso de su tarjeta bancaria. Mientras hablaba por teléfono con el supuesto empleado del banco, «Mitch» se conectó en línea para verificar su cuenta, y efectivamente hubo transacciones no autorizadas. El supuesto empleado del banco no solicitó información personal, lo que también hizo que la llamada pareciera legítima. Ella prometió que se enviaría una nueva tarjeta de débito a la víctima. Luego, al día siguiente, la víctima recibió otra llamada sobre sospecha de fraude en su cuenta. Esta vez, «Mitch» llamó al banco en una línea separada para preguntar qué estaba pasando. Quería confirmación de que la persona con la que estaba hablando en la otra línea era realmente del banco. Este empleado del banco comprobó y descubrió que sí, otro empleado estaba en la línea con él.

Aquí está cuán profundo fue la estafa. Resulta que el empleado falso del banco estaba hablando por teléfono al mismo tiempo que el banco, excepto que estaba fingiendo ser la víctima «Mitch». En otras palabras, el ladrón anticipó que la víctima llamaría al banco mientras él estaba en la línea, e hizo su propia llamada telefónica. Debido a que dos empleados del banco estaban hablando por teléfono por separado, ambos pensaron que estaban hablando con «Mitch». En realidad, solo uno de ellos era. «Mitch» estaba convencido de que la primera llamada era legítima, así que colgó. El banco, preocupado por el fraude, siguió sus procedimientos y envió un mensaje de texto a «Mitch» con un código único para verificar su identidad. Leyó ese código al ladrón. Eso ayudó al delincuente a transferir más de $ 9,000 de su cuenta. Usted ve que el ladrón ya había entrado en la cuenta de la víctima, probablemente al obtener su tarjeta de débito y su número de PIN, e hizo pequeñas transacciones no aprobadas. Lo que el ladrón necesitaba era el código de identificación especial del banco para poder transferir una gran cantidad de dinero. Es una estafa bastante compleja. Afortunadamente, el banco revirtió la transferencia.

Un par de lecciones aquí: Primero, los números de identificación de llamadas en los teléfonos no son confiables. Pueden ser falsificados. Eso no se detendrá en Canadá hasta este septiembrey en los Estados Unidos hasta junio de 2021. Es entonces cuando las compañías telefónicas están programadas para implementar tecnología conocida como Autenticación de identificación de llamadas. Esto evita que los números de teléfono sean falsificados. Segundo, tenga cuidado cuando use tarjetas de acceso bancario. Evite los cajeros automáticos no bancarios. Pueden verse comprometidos. Cuando ingrese su número PIN en cualquier máquina, coloque una mano sobre la otra para evitar que su PIN sea visto o fotografiado. Y tercero, si un banco llama y dice que tiene un problema, cuelgue. Llame al banco utilizando el número que figura en el reverso de su tarjeta. Mejor aún, sube a tu auto y ve al banco.

Eso es todo por la seguridad cibernética hoy. Los enlaces a los detalles sobre estas historias se pueden encontrar en la versión de texto de cada podcast en ITWorldCanada.com. Ahí es donde también encontrará mis noticias dirigidas a empresas y profesionales de la seguridad cibernética. Cyber ​​Security Today se puede escuchar los lunes, miércoles y viernes. Suscríbase a Apple Podcasts, Google Podcasts o agréguenos a su Flash Briefing en su altavoz inteligente.