Según las estadísticas del Banco Central de Rusia, en 2017, 317,7 mil usuarios perdieron 961 millones de rublos en Internet debido a las acciones de los estafadores. Al mismo tiempo, en el 97% de los casos, las víctimas de fraude no se comunicaron con las agencias de aplicación de la ley. Y estamos hablando de incidentes que fueron reportados al banco.
Veamos las formas comunes que utilizan los atacantes para robar dinero en las redes sociales. Y para que no caigas en la red de los estafadores, te daremos consejos sobre cómo protegerte de los ciberdelincuentes.
1. Hackeo de cuenta
Obtener la información de inicio de sesión de la cuenta permite a los estafadores obtener información confidencial y engañar a los amigos del usuario. Para ello, los estafadores utilizan todo un arsenal de trucos:
- infectar una computadora o dispositivo móvil con un virus;
- hackeo de bases de datos de otros sitios y coincidencia de contraseñas;
- contraseñas comunes de fuerza bruta.
La infección por virus ocurre con mayor frecuencia cuando se reciben correos electrónicos con archivos adjuntos dedestinatarios desconocidos o descargando archivos desde un alojamiento de archivos gratuito. Los virus están destinados a escanear las carpetas del navegador en busca de contraseñas no cifradas, así como a monitorear lo que el usuario ingresa desde el teclado. Por ejemplo, Android. BankBot.358.origin está dirigido a clientes de Sberbank y roba datos de inicio de sesión para una aplicación móvil. El troyano TrickBot también busca datos de inicio de sesión para cuentas bancarias, así como intercambios de criptomonedas. El registrador de teclas Fauxpersky se disfraza como un producto de Kaspersky Lab y recopila todo lo que el usuario escribe en el teclado.
La información recopilada por los virus se envía a los atacantes. Por lo general, el virus forma un archivo de texto y se conecta al servicio de correo especificado en la configuración. Luego, adjunta el archivo al correo electrónico y lo envía a la dirección de los estafadores.
Los usuarios utilizan la misma contraseña para todos los sitios (tiendas en línea, redes sociales, servidores de correo), para no tener en cuenta y no almacenar contraseñas únicas para cada cuenta en las computadoras. Los malhechores atacan sitios menos protegidos: directorios, tiendas en línea, foros. Todo un equipo de profesionales informáticos encargados de la ciberseguridad está trabajando en las redes sociales. Y las tiendas en línea y los foros se ejecutan en CMS, en el que los estafadores encuentran periódicamente vulnerabilidades para robar datos.
Los piratas informáticos copian la base de datos de usuarios, que normalmente contiene apodos, direcciones de correo electrónico y contraseñas de inicio de sesión. A pesar deque las contraseñas se almacenan en forma cifrada, se pueden descifrar, ya que la mayoría de los sitios utilizan el algoritmo hash MD5 de 128 bits. Se descifra mediante software de escritorio o servicios en línea. Por ejemplo, el servicio MD5 Decrypt contiene una base de datos de 6 mil millones de palabras descifradas. Después del descifrado, las contraseñas se verifican para detectar la posibilidad de acceder a servicios de correo y redes sociales. Usando el correo, puede recuperar su contraseña en una red social si no pudo adivinarla.
La fuerza bruta de contraseñas es cada vez menos relevante cada año. Su esencia radica en la verificación metódica de combinaciones comunes de letras y números en contraseñas para ingresar a una cuenta de red social. Los estafadores utilizan servidores proxy y VPN que ocultan la dirección IP de la computadora para que la red social no los detecte. Sin embargo, las propias redes sociales protegen a los usuarios, por ejemplo, introduciendo captcha.
Cómo protegerse
Para combatir los virus, debe seguir las reglas básicas de seguridad informática:
- no descargue archivos de fuentes desconocidas, ya que los virus pueden disfrazarse, por ejemplo, como un archivo de presentación;
- no abra archivos adjuntos en correos electrónicos de remitentes desconocidos;
- instalar antivirus (Avast, NOD32, Kaspersky o Dr. Web);
- establece la autenticación de dos factores en los sitios que tienen esta opción;
- al acceder al servicio desde el dispositivo de otra persona, marque la casilla correspondiente en el campo de autorización;
- no utilice la capacidad del navegador para recordar contraseñas.
El usuario no debeuse la misma contraseña para redes sociales, servicios de correo, tiendas en línea y cuentas bancarias. Puede diversificar las contraseñas agregando designaciones de servicio a su final. Por ejemplo, 12345mail es adecuado para correo, 12345shop para ir de compras y 12345socialnet para redes sociales.
2. Extorsión y chantaje
Los atacantes piratean deliberadamente las cuentas de las redes sociales para obtener datos confidenciales, luego chantajean a la víctima y la extorsionan. Por ejemplo, cuando se trata de fotos íntimas enviadas a una pareja.
No hay nada criminal en las fotos. Los atacantes chantajean al usuario enviando las imágenes recibidas a familiares y amigos. Durante la comunicación, se utiliza la presión psicológica y los intentos de crear sentimientos de culpa con la expectativa de que la víctima envíe dinero.
Incluso si la víctima envió el dinero, no hay garantía de que los perpetradores no decidan "rescatar" las fotos nuevamente o simplemente publicarlas para divertirse.
Cómo protegerse
Utilice servicios que le permitan enviar mensajes autodestructivos o encriptados a Telegram o Snapchat. O acuerde con su pareja no guardar las imágenes, sino eliminarlas inmediatamente después de verlas.
No debes ir al correo y redes sociales desde los dispositivos de otras personas. Si olvida dejarlos, existe el riesgo de que su correspondencia quede en las manos equivocadas.
Para aquellos a quienes les gusta guardar datos confidenciales, se recomienda cifrar las carpetas con un software especial, por ejemplo, con la tecnología de cifradoSistema de archivos (EFS).
3. Premios, legados y artículos gratuitos
Los estafadores ofrecen obtener un artículo costoso de forma gratuita, siempre que pague el envío a su dirección o el seguro del envío. Es posible que te encuentres con una oferta similar, por ejemplo, en el grupo "Gratis" de tu ciudad. Como motivo, pueden indicar una mudanza urgente o recibir lo mismo como regalo. Muy a menudo, las cosas caras se utilizan como "cebo": iPhone, iPad, Xbox y similares. Para pagar los gastos de envío, los estafadores piden una cantidad con la que el usuario se sienta cómodo desprendiéndose: hasta 10 000 rublos.
Los estafadores no solo pueden ofrecer artículos gratuitos, sino también productos con un precio muy reducido, como el iPhone X por 5000 rublos. Por lo tanto, quieren robar dinero o datos de tarjetas utilizando un formulario de pasarela de pago falso. Los estafadores disfrazan la página de pago con tarjeta como una página de una pasarela de pago popular.
Los atacantes pueden hacerse pasar por empleados de un banco o de una notaría y pedir ayuda para retirar fondos de una cuenta o dinero recibido por herencia. Para ello, se les pedirá que transfieran una pequeña cantidad para establecer una cuenta corriente.
Además, se puede enviar un enlace que lleva a un sitio de phishing para reclamar el premio.
Cómo protegerse
No creas en el queso gratis. Simplemente ignore dichas solicitudes o presente una queja utilizando las herramientas de redes sociales integradas. Para hacer esto, vaya a la página de la cuenta, haga clic en el botón "Quejarse del usuario" y escriba el motivo de la apelación. Servicio de moderadorla red social revisará la información.
No haga clic en enlaces desconocidos, especialmente si están hechos con goo.gl, bit.ly y otros servicios de reducción de enlaces. Sin embargo, puede descifrar el enlace utilizando el servicio UnTinyURL.
Digamos que recibió un mensaje en una red social sobre una venta rentable de un teléfono o tableta. No crea en la suerte e inmediatamente pague la compra. Si llegó a una página con un formulario de pasarela de pago, verifique cuidadosamente que el dominio sea correcto y que se mencione el estándar PCI DSS. Puede comprobar la corrección de la forma de pago en el soporte técnico de la pasarela de pago. Para hacer esto, solo contáctela por correo electrónico. Por ejemplo, en los sitios web de los proveedores de pago PayOnline y Fondy, se enumeran las direcciones de correo electrónico de los servicios de atención al cliente.
4. "Lanza cien"
Los estafadores usan una página pirateada para pedirles a los conocidos y amigos de la víctima que transfieran dinero a la cuenta. Ahora no solo se envían solicitudes de transferencia, sino también fotografías de tarjetas bancarias, en las que, mediante un editor gráfico, se aplican el nombre y apellido del propietario de la cuenta pirateada.
Por regla general, los atacantes solicitan transferir dinero con urgencia, ya que temen perder el control de la cuenta. A menudo, las solicitudes contienen elementos de presión psicológica y un recordatorio constante de que todo debe hacerse con urgencia. Los estafadores pueden estudiar el historial de comunicación con anticipación e incluso usar direcciones que solo usted conoce por nombre o apodos.
Cómo protegerse
Llama a un amigo y pregúntale directamente si necesita dinero. Así que te asegurasla veracidad de la solicitud y podrás advertir inmediatamente sobre el hackeo de la página.
Si conoce bien a la persona cuya cuenta fue pirateada, preste atención a la forma de hablar. Lo más probable es que el atacante no tenga tiempo de copiar por completo su estilo de comunicación y utilizará figuras retóricas inusuales para él.
Presta atención a la foto de una tarjeta bancaria. Puede calcular una falsificación por procesamiento de baja calidad en un editor gráfico: las letras "s altarán", las iniciales no estarán en la misma línea con la fecha de validez de la tarjeta y, a veces, incluso se superpondrán a la validez de la tarjeta.
Sobrevive en las redes sociales
De diciembre de 2014 a diciembre de 2016, la cantidad de ataques a usuarios que utilizan ingeniería social aumentó 11 veces. El 37,6 % de los ataques tenían como objetivo el robo de datos personales, incluida la información de tarjetas bancarias.
Según una investigación de ZeroFOX, Facebook representó el 41,2 % de los ataques, Google+ el 21,6 % y Twitter el 19,7 %. La red social VKontakte no se incluyó en el estudio.
Los expertos identifican 7 tácticas populares de estafa en las redes sociales:
- Verificación de página falsa. Los estafadores en nombre de la oferta de la red social para obtener la codiciada marca de verificación de una página "verificada". A las víctimas se les envía la dirección de una página especialmente preparada para el robo de datos.
- Difundir un enlace falso mediante anuncios dirigidos. Los atacantes crean un anuncio para atraer a los usuarios a las páginas con precios bajos y vender productos falsificados.
- Imitación del servicio al cliente de marcas famosas. Los atacantes se disfrazan como servicios de soporte técnico de grandes marcas y reciben información confidencial de sus clientes.
- Uso de cuentas antiguas. Los atacantes pueden usar cuentas antiguas cambiando su configuración para eludir los controles de las redes sociales.
- Páginas falsas de tiendas online y marcas. Los atacantes falsifican las páginas comunitarias de las tiendas en línea y llevan a los usuarios a páginas de phishing para obtener autorización, robar datos de inicio de sesión o vender productos falsificados.
- Promociones falsas. Para participar en la acción, los atacantes pueden solicitar un correo electrónico o una foto supuestamente para participar, que luego puede usarse en acciones ilegales.
- Fraude financiero. Los atacantes ofrecen ingresos inflados en un período corto simplemente robando dinero de usuarios crédulos.
- Páginas falsas de empresas de RRHH. Algunos estafadores imitan el estilo oficial de las grandes empresas y exigen un pago por considerar una solicitud de empleo.
Solo hay una forma de protegerse de la ingeniería social: el conocimiento. Por lo tanto, debe aprender bien las reglas de seguridad informática y no creer en ofertas demasiado generosas.