Los consumidores españoles compraron online por valor de 1.600 millones de euros durante Black Friday de 2019, lo que supone que a lo largo de este mes millones de compradores continuarán buscando en Internet las mejores ofertas disponibles. Desafortunadamente, los ciberdelincuentes también están a la espera de aprovechar el deseo de sacar provecho de ofertas cada vez más atractivas, lo que crea un tentador cebo para los desprevenidos consumidores.
El panorama de las amenazas ha cambiado drásticamente en los últimos años. Hace cinco años, ejecutar un software antivirus, pasar el ratón por encima de los enlaces de los correos electrónicos y asegurarse de que sus transacciones se realizaran en un sitio seguro (con un candado), era suficiente para garantizar una experiencia de compra segura. Este ya no es el caso. Proofpoint ha compilado una lista de las seis estafas más frecuentes que los compradores pueden encontrar en las compras navideñas.
Certificados SSL fraudulentos
¿Recuerda los días en que era suficiente comprar en sitios con un certificado SSL y un «candado»? Esos días se acabaron. Los ciberdelincuentes siempre persiguen y quieren dinero. Debido a que los consumidores prefieren gastar dinero en sitios web que muestren el candado, los ciberdelincuentes también se aseguran de que sus sitios tengan un certificado SSL (con la imagen del candado).
A principios de 2019 y durante el tercer trimestre, Proofpoint comenzó a ver una tendencia hacia una implementación desproporcionadamente alta de certificados seguros en sitios web fraudulentos, con más del triple de sitios web fraudulentos en el tercer trimestre que utilizan certificados SSL. Además, el 26 por ciento de los sitios fraudulentos utilizaron un certificado SSL, frente al 20 por ciento en el primer trimestre. Para los consumidores capacitados para buscar un candado, esto ha abierto una enorme brecha de vulnerabilidad.
Malware en el terminal del punto de venta (TPV)
Cuando compras en línea, estás tan seguro como el comerciante al que le compras. Regularmente vemos un aumento en el malware del terminal del punto de venta cada mes de noviembre. El malware que reside allí todavía puede extraer los datos de las tarjetas de crédito, que luego se pueden utilizar para realizar transacciones fraudulentas. Aunque la adopción generalizada de la tecnología de chip y PIN ha reducido la eficacia de algunos tipos de malware para terminal del punto de venta, todavía es posible realizar transacciones fraudulentas sin que la tarjeta esté presente físicamente. Quizás lo más alarmante es que ha surgido un nuevo malware específico que puede calcular los códigos de autenticación de las tarjetas, lo que las hace vulnerables para futuras transacciones.
Para los consumidores, la mejor protección incluye proteger siempre la tarjeta física y la revisión periódica de los sitios de compra online que tengan acceso a sus tarjetas de crédito. Proofpoint ha observado recientemente un aumento en la actividad del malware ZeusPOS POS, lo que sugiere que el grupo podría estar preparándose para la temporada navideña.
Redes sociales / Phishing
Aunque los comentarios de spam no inundan las plataformas de medios sociales como lo hacían antes, todavía pueden proporcionar una oportunidad para que los ciberdelincuentes se cuelen entre el usuario y la compañía con la que “cree” que está interactuando.
Por ejemplo, si un usuario usa Twitter para preguntarle a «@AcmeAnvils» sobre una devolución de producto tras Black Friday, o alguna otra cuestión, podríamos recibir una respuesta de @AcmeAnvilsDeals enviándonos un enlace a su «sitio de ofertas de vacaciones». El problema es que @AcmeAnvilsDeals puede ser falso, enviando enlaces a un sitio que parece legítimo pero que en realidad es malicioso.
Estafas y amenazas aprovechando las fiestas de Navidad
Los días festivos y los grandes eventos proporcionan oportunidades ilimitadas a los ciberdelincuentes para crear señuelos convincentes y ataques de correo electrónico temáticos. Por ejemplo, el año pasado vimos a ciberdelincuentes detrás del troyano bancario Emotet, enviar un bombardeo de spam malicioso con motivo del Día de Acción de Gracias, una festividad que en Estados Unidos es tan importante como en España la Nochebuena o el Dia de Reyes. Los correos electrónicos contenían documentos adjuntos o enlazados que decían ser tarjetas electrónicas temáticas de vacaciones. Sin embargo, esas aparentemente inofensivas «e-cards» contenían código malicioso que instaló Emotet.
Mientras que Emotet proporciona un ejemplo de alto perfil y particularmente peligroso de una amenaza relacionada con una festividad importante, abundan los señuelos estacionales. Al igual que con todos los correos electrónicos, los destinatarios nunca deben abrir archivos adjuntos ni hacer clic en los enlaces de remitentes desconocidos. Sin embargo, debido a que las identidades del remitente pueden ser falsificadas, los destinatarios simplemente deben evitar los archivos adjuntos y los enlaces si tienen alguna duda sobre su seguridad.
Spam de correo electrónico con ofertas de vacaciones
Mientras que las compañías de cable y otros ISPs han hecho grandes avances en la reducción de cantidades titánicas de spam, algunos todavía lo consiguen. Y para los cazadores de gangas, pueden resultar irresistibles. Para atraer a las posibles víctimas, estos correos electrónicos suelen utilizar marcas robadas y asuntos tentadoras para provocar un “click-through”, a menudo hacia páginas llenas de publicidad, sitios potenciales de phishing, productos falsificados y otros contenidos maliciosos. Como habrás oído, si algo parece demasiado bueno para ser verdad, probablemente no lo sea.
Estafas de aviso de entrega
Atención a los correos electrónicos de phishing que imitan las alertas de envío de marcas conocidas. Estos mensajes a menudo incluyen logotipos familiares para engañar a los destinatarios y hacerles creer que los correos electrónicos son legítimos. En realidad, están diseñados para difundir software malicioso, robar dinero y/o engañar a las personas para que revelen sus contraseñas de acceso.
Aunque los ataques de este tipo se producen durante todo el año, a menudo aumentan durante la temporada de compras navideñas, y aprovechan nuestra expectativa de obtener grandes ofertas navideñas, grandes ventas y envíos de correo electrónico de los minoristas. Dado que los correos electrónicos de phishing pueden parecerse mucho a las notificaciones reales, es importante mantenerse alerta y comprobar cuidadosamente todas las alertas de envío antes de hacer clic en un enlace o descargar un archivo adjunto. Inicie siempre sesión en sitios de confianza directamente, en lugar de confiar en enlaces potencialmente maliciosos incluidos en los mensajes de correo electrónico.