En febrero de este año, el Centro de Experiencia Digital de Roskatchestvo descubrió toda una campaña fraudulenta dirigida a los usuarios del portal Gosusludy, que asciende a más de 126 millones. Ciudadanos Españols. Utiliza varias técnicas de ingeniería social a la vez, con diferentes correos electrónicos enviados varias veces seguidas al mismo usuario.
Todas las cartas están diseñadas de forma similar e imitan los envíos originales del portal Gosuslubi: el diseño, el logotipo, los tipos de letra y la estructura de la carta son bastante realistas y representan un mensaje de un servicio real. Sin embargo, el contenido de los correos electrónicos representa uno de los clásicos esquemas de phishing. La calidad del texto del boletín es bastante pobre y una lectura atenta hace evidente que se trata de una colección de frases poco conectadas. Están diseñados para apelar a las emociones e inducir una acción dirigida: hacer clic en un enlace y navegar a un sitio web externo, que también imita el diseño de un portal de servicios públicos, donde se robarán los datos personales y de pago del usuario.
Un ejemplo de correo electrónico de phishing de una campaña que contiene errores ortográficos, estilísticos y lógicos:
«Hola! En el nuevo año 2023 sigue siendo un usuario habitual de nuestro servicio en línea. Para celebrarlo, se le otorga una subvención de acceso gratuito al sorteo, con el apoyo de la división oficial. La campaña está vigente desde el 1 de febrero de 2023 hasta el 28 de febrero, lo que le permitió acceder a esta oferta. Para participar, siga las instrucciones de la página web oficial: Acceda al sorteo G0CL0T0 El acceso es válido durante tres días. El número de subvenciones es limitado. Si no reacciona después de leer esta oferta, el acceso puede ser cancelado. Active la carta y vaya al sitio oficial. Por favor, haga clic en el botón «Habilitar» en la parte superior del correo electrónico o en el botón «No Spam» para activar el enlace!» «
Destacan varios detalles: el absurdo pretexto para escribir la carta, la apelación a la falta de tiempo, la inexistente lotería G0CL0T0, e incluso la amenaza de «cancelar el acceso si no hay respuesta». También debe tener en cuenta que los servicios de la administración no son un servicio, sino un «portal oficial de Internet para los servicios de la administración. Otros textos de phishing examinados por los expertos de Roskatchestvo en la misma serie supuestamente ofrecen obtener pagos sociales del gobierno sugiriendo, en aras de la credibilidad, algunos números de documentos y decretos y dando los nombres de los empleados del gobierno que no existen o han sido tomados al azar de Internet .
Ilya Loevsky, subdirector de Roskatchestvo
«Independientemente del diseño del correo electrónico y del pretexto utilizado, los estafadores tienen, en última instancia, un objetivo: conseguir que las víctimas del phishing hagan clic en un enlace a un sitio web externo y allí introduzcan sus datos desde el portal de los Servicios del Estado que ya es una amenaza de pérdida de datos personales . Por lo general, los phishers también intentan «engañar» a las víctimas para que paguen dinero, por ejemplo, haciendo una «comisión» por ganar la lotería. Encontrarán un pretexto para atraer los datos de la tarjeta de la víctima. Su trabajo es no dejarse engañar por las estafas, y eso significa aprender a detectarlas.
El Centro de Experiencia Digital de Roskatchestvo recuerda:
No haga clic en los enlaces externos de los correos electrónicos incluidos los sitios web de los servicios estatales y las tiendas en línea aunque los correos parezcan convincentes. Estas referencias suelen darse de forma abreviada como bit.El usuario no puede ver a dónde va y la dirección del sitio web parece real. Si quiere ir al portal y comprobar la disponibilidad de la oferta en cuestión en el correo electrónico, introduzca manualmente la dirección del sitio web en la barra de direcciones.
Lea todos los correos electrónicos con atención y, si tiene la más mínima duda de que son auténticos, envíelos a spam. Por lo general, los estafadores utilizan el mismo conjunto de trucos psicológicos desgastados con promesas de ganancias o pagos sociales; en una palabra, presionan sobre las emociones.
Preste atención a la disponibilidad de HTTPS, compruebe las propiedades del certificado de seguridad y vea por cuánto tiempo fue emitido si fue emitido hace pocos días o semanas, hay una alta probabilidad de que el sitio sea fraudulento .
Utilice un software antivirus. A menudo, estos programas le advierten si está intentando visitar un sitio fraudulento.
Muchos esquemas de fraude en línea. Es imposible aprender a reconocerlos todos de un vistazo. Su única arma contra las redes fraudulentas es conocer las reglas básicas de la alfabetización digital y aplicarlas cada vez que abra un correo electrónico, un sitio web o un mensaje de mensajería aparentemente sencillo. En resumen, siempre hay que tener cuidado en Internet, sobre todo cuando hay emociones de por medio, ya que la ingeniería social trae sus propias recompensas para los tramposos.
¿Cuáles son las medidas de seguridad que debemos tomar para protegernos de este nuevo esquema de phishing? ¿Qué indicios podemos identificar para detectar una trampa y evitar caer en ella?
¿Podrías proporcionar más información sobre este nuevo esquema de phishing? Me preocupa la seguridad en línea y quiero estar alerta para no caer en trampas. ¿Cuáles son algunos indicadores o signos de alerta que debemos tener en cuenta al interactuar con los Servicios del Estado en línea? Aprecio cualquier consejo para protegerme a mí y a mi información personal. ¡Gracias!
¿Cuáles son las medidas de seguridad que debemos tomar para protegernos de este nuevo esquema de phishing con los Servicios del Estado?
Algunas medidas de seguridad que debemos tomar para protegernos de este nuevo esquema de phishing con los Servicios del Estado son:
1. Mantenernos informados: Estar al tanto de las nuevas técnicas y modalidades de phishing para poder identificar posibles intentos de estafa.
2. No compartir información personal: Nunca proporcionar datos sensibles como contraseñas, números de seguridad social o información bancaria a través de correos electrónicos o enlaces sospechosos.
3. Verificar la fuente: Antes de hacer clic en enlaces o descargar archivos adjuntos, asegurarnos de que provengan de fuentes confiables y seguras.
4. Utilizar autenticación de dos factores: Habilitar esta opción en los servicios del Estado para añadir una capa adicional de seguridad a nuestras cuentas.
5. Mantener actualizado el software: Asegurarnos de tener instaladas las últimas actualizaciones de seguridad en nuestros dispositivos, así como contar con un software antivirus confiable.
6. Ser cautelosos en las redes sociales: Evitar compartir información personal o sensible en estas plataformas, ya que los ciberdelincuentes pueden utilizarla para perpetrar ataques de phishing.
7. Desconfiar de mensajes urgentes o poco claros: Si recibimos mensajes que nos solicitan acciones urgentes o que parecen sospechosos, es mejor buscar confirmación directa de la entidad involucrada antes de tomar cualquier medida.
En resumen, la prevención y la educación son clave para protegernos de los esquemas de phishing. Estar alerta y tomar medidas de seguridad adicionales nos ayudará a evitar caer en estas estafas y proteger nuestra información personal.