Riesgos de compras en línea

Juan Carlos Carrillo Director de Ciberseguridad y Privacidad de Datos, PwC México 20/11/20

Con la llegada del Buen Fin, ThanksgivingBlack FridayCyber Monday y Navidad, entre otros, las marcas ofrecen diversos descuentos, promoviendo que los consumidores adquieran una gran variedad de productos, pero es aquí cuando estafadores y  ciberdelincuentes aprovechan las oportunidades y las capitalizan rápidamente a través de toda la variedad de fraudes en línea que existen actualmente. 

En los últimos años, esta actividad se está volviendo cada vez más común en las redes sociales, donde los usuarios son bombardeados con publicidad de las marcas, tanto conocidas como emergentes, tornando el panorama más complejo para empresas y usuarios. Este tipo de estafas abusan de la confianza de los consumidores, al crear cuentas fraudulentas que suplantan la identidad de la marca original, en donde ofrecen promociones falsas y llamativas pero, sobre todo, conducen a consumidores desprevenidos a una variedad de páginas con fines maliciosos como: phishingexploits de malware y otros esquemas.

Más de la mitad de los intentos de inicio de sesión en cuentas de redes sociales, son fraudulentos, más de 3/4 partes de estos ataques, fueron ejecutados por bots automatizados, además, estos ataques tenían el doble de probabilidades de ser exitosos, que aquellos realizados durante el registros de cuentas. Este tipo de cuentas falsas son parte de varias campañas de ataque; sin embargo, el común denominador entre ellas es el deseo de aprovecharse de los usuarios que compran en línea.

Para las marcas que intentan comercializar sus ofertas y promociones auténticas, este es un gran problema. Los estafadores rápidamente hacen copias de la cuenta original, roban clics e ingresos, atacan a los clientes y ahuyentan grandes volúmenes de transacciones de negocio potenciales. Los usuarios más preparados para responder ante este tipo de incidentes se ven obligados a desconfiar de las cuentas con las que interactúan y de las  promociones que deciden explorar. No obstante, una gran cantidad de usuarios a menudo desconoce qué debe verificar antes de comprar y cómo detectar  las diferencias entre la copia maliciosa y el vendedor real.


Suplantación de identidad

La primera campaña imitó marcas populares con el fin de obtener información de las  tarjetas de crédito y datos personales de las víctimas. 84 URL únicas de phishing fueron distribuidas por 569 cuentas sociales falsas, las cuales mostraban logos e información oficial de compañías conocidas. Los delincuentes cibernéticos aprovecharon el reconocimiento de dichas empresas y las ofertas del Black Friday y Cyber Monday para llevar tráfico a las URL publicadas que pretendían vender productos populares a precios con más del 70% de descuento. Sin embargo, este tipo de  sitios web generalmente contienen formularios que roban los datos bancarios y la información personal.

Malware

Las campañas maliciosas de distribución de enlaces se enfocan en persuadir a los usuarios para que den clic en sitios web externos que descargan programas dañinos en sus computadoras. El malware puede ser uno de los más perjudiciales, ya que puede resultar en el robo de identidad. Por su parte el ransomware, tiene un costo altísimo, incluyendo aquellos por mantenimiento.

Fame Farming

Las últimas campañas incluyen más de 2,000 cuentas sociales que imitaban a las principales marcas de consumo con el fin de llevar a cabo la llamada "agricultura de fama". Esta consiste en un perfil que promociona cupones falsos u obsequios para reunir rápidamente un gran número de seguidores e interacciones. Por lo general, prometen tarjetas de regalo y ofertas falsas para acumular seguidores de forma fraudulenta, extraer información personal y redirigir a los usuarios a sitios web externos maliciosos. Después de que la cuenta falsa acumule suficiente popularidad digital, puede reutilizarse posiblemente para lanzar ataques más grandes o algún otro tipo de  actividad fraudulenta, como:

Copia de cuentas
Cuantos más seguidores, más valiosa es la cuenta. Estas a menudo se venden en la darkweb, en lo que se denomina "flipping de cuenta", a otros ciberdelincuentes que pueden usarlas para campañas de phishingspam o entrega de malware. Como tal, los titulares de estas cuentas pueden no estar atacando activamente a sus seguidores, aún, pero podrían ser solamente la primera puerta que conducirá a ataques contra los seguidores de la cuenta más adelante..

Phishing con mensajes directos (DM)

Los atacantes a menudo crean o compran perfiles falsos de seguidores para enviar mensajes directos con enlaces de phishingransomware o descargas de malware. Algunas redes sociales solo permiten DM entre usuarios que se siguen mutuamente, y el uso de estos garantiza que el ataque se inicie fuera de banda. Esto garantiza la longevidad de la cuenta atacante, ya que no puede marcarse para ser eliminada o bloqueada directamente por las redes sociales.

Campañas de ataque diferido

Los ataques en las redes sociales a menudo se realizan por etapas, con largos períodos de espera en el medio. Esto se hace para evitar detecciones. La cuenta puede empezar por acumular seguidores primero y, de la noche a la mañana, cambiar radicalmente y comenzar a publicar, enviar mensajes directos y, de otro modo, tratar de convencer a los seguidores de participar en alguna estafa. Pueden ser simplemente una sola fase en una campaña de ataque más larga y mejor estructurada.

Recolección de spam y clics

Muchos de los enlaces promovidos por estas cuentas conducen a sitios de spam, encuestas falsas y otros esquemas de comercialización de "clics fallidos". Conducir tráfico en grandes volúmenes explotando las redes sociales les puede garantizar a los atacantes el mayor pago posible.


Recomendaciones para evitar estafas online

En mi experiencia, promover una cultura de prevención y verificación puede hacer la diferencia entre realizar compras seguras y perder una gran cantidad de dinero, o bien, posibles deudas en el mejor escenario. Tomar estos tips en en cuenta te puede ayudar a dar los primeros pasos en la dirección adecuada:

  1. Ten cuidado con los cupones y promociones distribuidos a través de sitios que no sean oficiales.
  2. Asegúrate de que la autenticación de 2 factores (2FA) esté habilitada en las cuentas de redes sociales. Las páginas oficiales de diversas plataformas generalmente te sugieren activarlo cuando inicias sesión, si aún no lo tienes activo, o puedes encontrar sugerencias para activarlos en la sección oficial de ayuda.  
  3. Ten cuidado con los enlaces en las redes sociales. Pon el mouse sobre los links para obtener una vista previa de la URL. Aqui 9 recomendaciones: Quttera, SUCURI, SiteGuarding, Astra Security, VirusTotal, MalCare, ReScan, SiteGuard & SiteLock

4. Asegúrate de que el antivirus y antimalware se mantenga actualizado en todos los dispositivos, ya sea una computadora portátil, de escritorio o dispositivo móvil y que este permanezca actualizado en todo momento.

5. Revisa a quién sigues y quién te sigue. Seguir cuentas sospechosas aumenta las posibilidades de estar expuesto a fraudes en redes sociales, e incluso cuentas oficiales pueden ser secuestradas o vendidas a estafadores.

6. Ten cuidado con las suplantaciones de marca. Que una cuenta esté verificada (con la “palomita” azul) es un buen punto de partida para asegurar que la cuenta sea confiable, pero tampoco garantiza que el perfil no haya sufrido algún hackeo o que la cuenta verificada no sea falsa. En ocasiones las cuentas falsas pueden obtener verificaciones también, siempre revisa los comentarios, valoraciones y demás aspectos que puedan darte mayor certeza de la veracidad del perfil..

Sobre todo, ten cuidado con tus clics en redes sociales. Si parece sospechoso, probablemente sea una estafa.

Originalmente publicado en LinkedIn

 

Ponte en contacto

Juan Carlos Carrillo

Juan Carlos Carrillo

Director de Ciberseguridad y Privacidad de Datos, PwC México

Teléfono +52 55 5263 6000

Síguenos: