Señuelos y tareas
Dada su naturaleza básica, los mensajes de señuelos y tareas pasan fácilmente desapercibidos. Empiezan por solicitar un favor sencillo y casi rutinario. Aunque algunos ataques comienzan por una petición concreta, muchos solo contienen vaguedades y enredan a la víctima a lo largo de múltiples mensajes. En estos casos, los mensajes iniciales pueden hacer una petición general del tipo:
- «¿Estás disponible?»
- «Necesito un pequeño favor»
- «¿Tendrías un momento?»
- «Estás ahí? Necesito que me compres tarjetas regalo»
Con frecuencia, los mensajes de señuelos y tareas son una puerta, el primer paso de un ataque de varias etapas que contiene otros temas de estafa por correo electrónico. Un mensaje de señuelos/tareas capta la atención del destinatario para, con el tiempo, ir revelando el objetivo último del ciberdelincuente, como el desvío de pagos o el fraude de facturas.
Estos ataques de varias categorías pueden dificultar su clasificación. A menudo, la diferencia entre los mensajes de señuelos/tareas y otros es si vemos lo que hará el atacante a continuación. Si solo vemos un único mensaje de tipo señuelos/tareas, lo clasificamos como tal. Pero si los siguientes mensajes revelan un objetivo subyacente al mensaje inicial, lo clasificamos como señuelos y tareas y también bajo otro tema.
¿Cómo funciona?
Los mensajes de señuelos y tareas solo utilizan una forma de Engaño: la suplantación. Los ciberdelincuentes tienden a hacerse pasar por alguien que la víctima elegida conoce o en quien confía:
- Figuras de autoridad, tanto personales como profesionales
- Amigos íntimos
- Familiares
La usurpación de la identidad de alguien conocido desarma todas las sospechas que el destinatario pueda tener sobre una solicitud inesperada o inusual y casi le obliga a responder.
Con una mera respuesta, el ciberdelincuente logra su objetivo primordial: identificar una cuenta de correo electrónico activa y una audiencia potencialmente receptiva.
La mayoría de los mensajes de señuelos/tareas utilizan la falsificación del «display name» para engañar al destinatario. Algunos recurren a otras tácticas de suplantación, como la suplantación de dominios o la falsificación de las direcciones de respuesta. Tras recibir una respuesta, el ciberdelincuente puede cambiar las tácticas de engaño si con ello puede dar mayor credibilidad al ataque.
Muchos de los mensajes fraudulentos de señuelos/tareas que vemos empiezan por un breve mensaje que calibra en qué medida es receptivo el destinatario; quizá estos primeros mensajes no intenten crear sensación de urgencia.
La estafa por correo electrónico con señuelos/tareas es prolífica y suma más de la mitad de las amenazas de estafa por correo electrónico que observamos en 2021. (Proofpoint impide a diario la entrega de unos 30,000 mensajes de este tipo).
A primera vista, estos mensajes parecen benignos. Pero si el destinatario se deja engañar una vez, puede dar lugar a formas más graves de estafa por correo electrónico con resultados potencialmente costosos: tarjetas regalo, fraude de facturas, fraude de desvío de nóminas y similares.
Timos de las tarjetas de regalo
En los ataques de las tarjetas regalo, los ciberdelincuentes se lucran con las tarjetas regalo de un minorista. El mensaje induce al destinatario a comprar tarjetas y a enviar el número de las tarjetas y los números PIN al atacante, que después las canjea o revende.
Estos ataques funcionan porque las tarjetas regalo son una práctica habitual en las empresas para recompensar a empleados y socios. Para el destinatario, la solicitud parece rutinaria. Si el mensaje suena urgente y ofrece una explicación aparentemente razonable, el destinatario puede actuar sin darle más vueltas.
¿Cómo funciona?
Los ciberdelincuentes normalmente suplantan a un directivo o a una persona con un cargo de autoridad para dar a la solicitud visos de legitimidad. Como ocurre con otras formas de estafa por correo electrónico, las probabilidades de que el destinatario caiga en la trampa aumentan si el remitente se hace pasar por alguien conocido, incluso amigos íntimos y familiares.
La mayoría de las estafas con tarjetas regalo falsifican el «display name» para engañar al destinatario. A veces, los ciberdelincuentes utilizan otras tácticas de suplantación, como la suplantación de dominios o la alteración de la dirección de respuesta.
La mayoría de los mensajes de correo electrónico con tarjetas regalo utilizan todo tipo de señuelos para que el destinatario considere válida la solicitud. Los ciberdelincuentes pueden utilizar cualquier cosa, desde sucesos de actualidad, como la pandemia, hasta festivos nacionales. Sea cual sea el cebo, el objetivo es proporcionar una razón verosímil para la solicitud y suscitar solidaridad para aumentar las probabilidades de éxito.
Las tarjetas regalo son una forma habitual de estafa por correo electrónico. Con una media de 840 dólares por incidente, este delito ha defraudado casi 245 millones de dólares desde 2018. Proofpoint detiene al día entre 7,000 y 10,000 de estos mensajes.
————————————————————————————————————————————-
Como profesional de la seguridad, identifica, clasifica y bloquea una de las amenazas más costosas y menos conocidas. Proofpoint y BG2 Services somos tu mejor aliado para gestionar este problema de ingeniería social.
📞 (81) 8123 3730
Fuente
- Proofpoint. (2022). Análisis de las estafas BEC. [e-book]. https://www.proofpoint.com/sites/default/files/e-books/pfpt-es-eb-breaking-down-bec.pdf
