A los hackers con intenciones maliciosas no los detiene la pandemia, sino que el coronavirus los espolea a planificar nuevos ciberataques basados en la amenaza del virus para robar datos personales, secuestrar dispositivos y chantajear a empresas y usuarios. El phishing sigue siendo la estrategia reina: se suplanta la identidad de organismos oficiales como la OMS, instituciones gubernamentales y grandes empresas para mandar mensajes con código malicioso o solicitar información a los internautas.
5 pasos para evitar los engaños de phishing por coronavirus
Una de las últimas estafas, detectada por PandaLabs, el Laboratorio de Panda Security, se trata de un falso email que suplanta la identidad de la Seguridad Social para robar datos personales a las víctimas. El asunto del mensaje es “Devolución Seguridad Social” y la estratagema se basa en hacer creer al usuario que le van a devolver la cantidad de 345,76€ euros. Todos los emails llevan la falsa referencia ES-A80105W. Las víctimas deben recuperar el supuesto dinero clicando en un link que redirigie a una web que simula con precisión la identidad corporativa de la Seguridad Social.
Como todo ataque de phishing, este ciberataque insta a la urgencia y conduce a la impulsividad aludiendo a la pronta caducidad del enlace. También usa la ingeniería social y se aprovecha de las delicadas circunstancias de incertidumbre, precariedad y problemas económicos que atraviesan miles de españoles con la crisis del Covid-19. La fracción de tiempo corta en la que hacemos clic es suficiente para que los hackers robe de nuestra cuenta corriente. La forma en la que se dirigen a ti también es sospechosa: un organismo público no te llama cliente, sino ciudadano.
Para detectar este timo desde Panda Security recomiendan atender a la URL, uno de los principales lugares en los que comprobar si una página web es real o se trata de una suplantación de identidad orquestrada por ciberdelincuentes. La web diseñada por los hackers aparenta ser un subdominio de la Seguridad Social: mientras que la web de la Seguridad Social es seg-social.es, la falsa apunta a un dominio que termina en “.gob.es”
Por desgracia, y aunque resulte totalmente confuso, la auténtica página web de la Seguridad Social española no dispone del protocolo de navegación segura “SSL” en todo su sitio, el cual hace patente que la comunicación está cifrada. Rizando el rizo, la plataforma a la que conduce el link del falso correo de phishing sí cuenta con el protocolo “https”.
“A los expertos en ciberseguridad nos cuesta creer que la página web de un organismo público no cuente con medidas mínimas de seguridad como el certificado SSL que sí es obligatorio para cualquier pyme que quiera vender online”, apunta Hervé Lambert, solicitando un consenso para concienciar y predicar con el ejemplo de la ciberseguridad a toda la sociedad.
Fuente | Panda Security