NEGOCIOS

Anatomía de un phishing de lanza tonto: golpear a los bibliotecarios para Zelle, efectivo de CashApp

Anatomía de un phishing de lanza tonto: golpear a los bibliotecarios para Zelle, efectivo de CashApp

Aquí hay una pista para los posibles estafadores financieros de Internet: no se dirija a los bibliotecarios. Se darán cuenta rápido y habrás perdido el tiempo.

Ayer, la presidenta saliente del Comité de Premios Alex de la Asociación de Servicios Bibliotecarios para Adultos Jóvenes (y mi esposa), Paula Gallagher, recibieron un correo electrónico muy extraño que pretendía ser de un colega dentro de su sistema de bibliotecas que es miembro de la junta de YALSA. El correo electrónico preguntaba: «¿Está disponible para completar una tarea en nombre de la Junta y recibir un reembolso? Por favor, avise».

Había algunas cosas fuera de lugar en el correo electrónico. En primer lugar, aunque la primera mitad de la dirección de correo electrónico de la que procedía el mensaje coincidía con la dirección de correo electrónico de su colega, el nombre de dominio era muy sospechoso: Reagan.com, un sitio que ofrece «correo electrónico privado seguro» a los usuarios que desean «mantener vivo el legado del presidente Ronald Reagan». El supuesto remitente del mensaje no era, por decirlo suavemente, un gran admirador del legado del presidente Reagan. (Ars intentó comunicarse con los operadores del sitio Reagan.com para obtener comentarios, pero son muy conscientes de la privacidad).

¿Quiere un nombre de dominio confiable para enviar sus correos electrónicos de phishing por solo $ 33 al año?  No busque más.
Agrandar / ¿Quiere un nombre de dominio confiable para enviar sus correos electrónicos de phishing por solo $ 33 al año? No busque más.

Hubo otros avisos. El correo electrónico llegó al buzón personal que mi esposa había configurado específicamente para el trabajo de su comité (que se había publicado en el sitio web de YALSA) y no a su dirección de correo electrónico interna de la biblioteca. Y la gramática y las mayúsculas, junto con el tono del correo electrónico, no coincidían con las de su colega. Además, está casada conmigo, así que puede oler un phishing a una milla de distancia.

Ignoró el mensaje hasta que otro miembro del comité se acercó a ella después de responder a un mensaje idéntico. La «tarea» resultó ser una estafa de pago de libros de texto y provenía de una nueva dirección de correo electrónico: «presidentnewboxmailme [at]gmail.com»:

¿Ayudaría a pagar a un Comerciante y recibir un reembolso por [name of the board’s financial chair]? [He] no disponible hoy por razones de salud, pero prometió un reembolso rápido antes del viernes. Es imperativo y cuesta $6,980. Pude enviar $4000 de mi límite de ahorro diario. Comuníquese conmigo si puede enviar los $2,980 restantes a través de Zelle y CashApp. Se trata del Simposio de Servicios para Adultos Jóvenes 2023 de YALSA.

Sabiendo que Paula trabajaba con el supuesto remitente del mensaje, el destinatario le reenvió el mensaje y preguntó: «Parece incompleto… ¿ha sido pirateado?». Pronto, otros comentaron en un chat grupal que habían recibido mensajes sospechosos similares.

Nadie se dejó engañar por el phish.

Toma el dinero y corre

Zelle, CashApp y otras aplicaciones de pago entre pares se han convertido en una nueva plataforma favorita para las estafas financieras. A diferencia de los pagos con tarjeta de crédito, estas plataformas de pago evitan poco el fraude: son como efectivo. Una vez que se ha completado un pago, no hay una forma real de cancelarlo.

Este ataque, dirigido a miembros de una asociación sin fines de lucro, es solo la última novedad en esa tendencia, tomando prestadas las tácticas, si no la precisión, de los ataques dirigidos de grandes cantidades de dólares contra corporaciones. Los ataques de «caza de ballenas» y operaciones similares de «spear-phishing» se dirigen a ejecutivos o gerentes de alto nivel, utilizando mensajes urgentes para engañar a las personas con acceso a los fondos de la empresa para que realicen transferencias bancarias a un «proveedor» debido a algún asunto urgente o para exponer información ( como los formularios W-2 de los empleados) que se pueden usar para otros fraudes financieros.

Las corporaciones se han dado cuenta cada vez más de las estafas, a través de una combinación de capacitación, mejor filtrado de correo y controles sobre los sistemas financieros. Pero las asociaciones y otras organizaciones sin fines de lucro, que pueden tener algo menos de dinero y algo menos de TI centralizada, ahora aparentemente están siendo atacadas debido a su naturaleza. Tienen sitios web muy públicos como parte del alcance de su misión, llenos de nombres y direcciones de correo electrónico de personas dispuestas a hacer muchas cosas por la misión de la organización, incluso alcanzar sus propias billeteras.

Dada la cantidad de datos disponibles sobre los contactos de las personas gracias a los sitios web de organizaciones, como LinkedIn, Facebook y otras fuentes públicas de Internet, es probable que este tipo de estafas gane más popularidad que otras (como las estafas románticas que cuestan a las víctimas más de $200 millones en 2023, según la Comisión Federal de Comercio) pierden su efectividad. Hasta que Zelle, CashApp y otros proveedores de pago entre pares ofrezcan una forma de ayudar a detectar cuentas fraudulentas, seguirán siendo un objetivo popular.

Si necesita más consejos para detectar este tipo de estafas… pregúntele a un bibliotecario.

Imagen del listado por Sean Gallagher

Artículo Recomendado:  4 vulnerabilidades bajo ataque dan a los hackers el control total de los dispositivos Android

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba