Cuidado con la estafa de PayPal 'Nuevo inicio de sesión desde dispositivo desconocido'

PayPal New Login From Unknown Device Phishing Scam

A fines de diciembre, los investigadores de ESET notaron que los usuarios de PayPal en América Latina estaban siendo blanco de una campaña de phishing que podría continuar hasta el día de hoy. Desafortunadamente, es difícil decir qué tan grande es el ataque, y no sabemos cuántas personas han sido víctimas de él. Sin embargo, independientemente de la escala, esta estafa de phishing de PayPal es de interés periodístico por un par de buenas razones.

Por un lado, los piratas informáticos que lo organizaron utilizaron algunos ingeniosos trucos de ingeniería social para tratar de maximizar el número de víctimas. Sabían que todas las cuentas de PayPal comprometidas pueden generar ganancias financieras significativas, pero nunca se conformarían con el dinero. Así es como se desarrolla toda la estafa.

Una alerta de correo electrónico de inicio de sesión inusual

Como puede imaginar, el ataque comienza con un correo electrónico que, en este caso particular, trata de convencerlo de que una persona no autorizada ha accedido a su cuenta PayPal. Para que el mensaje suene más convincente, los piratas informáticos incluyen la fecha del supuesto incidente, así como detalles sobre el sistema operativo y el navegador del intruso. El correo electrónico también dice que su cuenta ha sido bloqueada y que puede recuperar el acceso a ella siguiendo un enlace y "confirmando su identidad". Aquellos de ustedes con un interés activo en la ciberseguridad probablemente sepan lo que sucederá después.

También saben que esta no es una táctica innovadora. Los phishers a menudo intentan robar credenciales de inicio de sesión de los usuarios persuadiéndoles de que sus cuentas podrían haber sido pirateadas. Esto se debe a que cuando se les presenta este escenario particular, las personas tienden a entrar en pánico y, en su apuro, a menudo pasan por alto algunos errores evidentes que cometen los delincuentes.

Si hace clic, se le dirigirá a una página falsa de PayPal que está diseñada para parecerse a la realidad. Primero, debe completar un desafío CAPTCHA, y luego se le solicitan sus credenciales de inicio de sesión de PayPal.

Esta vez no se trata solo del nombre de usuario y contraseña

En un ataque de phishing típico, una vez que las víctimas regalan sus credenciales de inicio de sesión, se les muestra un mensaje de error falso que les indica que intenten nuevamente más tarde o simplemente se les redirige a sus cuentas reales. En este caso, las cosas son un poco diferentes.

Después de que se hayan robado los datos de inicio de sesión, el sitio web falso le dice que su cuenta de PayPal todavía está bloqueada debido al presunto acceso no autorizado. Para desbloquearlo, debe verificar su información personal. El primer formulario le pide su nombre, dirección física, número de teléfono y fecha de nacimiento. Un segundo formulario solicita los detalles de su tarjeta de crédito, y un tercero le solicita que ingrese cierta información relacionada con la cuenta bancaria asociada con su perfil de PayPal. Finalmente, se le pide que "vincule" su cuenta de correo electrónico proporcionando la dirección y la contraseña.

Las capturas de pantalla de ESET muestran que los hackers realmente lograron todas las paradas para crear una página de phishing que parece legítima. Los logotipos, los colores y las fuentes son todos más o menos perfectos, y los hackers incluso han tenido problemas para instalar un certificado SSL, lo que significa que las personas a las que se les enseñe a buscar el candado verde en la barra de direcciones verán y asumirá que la página es completamente segura. En otras palabras, hay muchas cosas que pueden hacerte creer que realmente estás asegurando tu cuenta PayPal. Por otra parte, hay bastantes otras señales reveladoras que, si se notan, le mostrarán que está siendo estafado con sus datos personales.

Detectar algunas discrepancias es todo lo que se necesita para mantenerse a salvo.

La forma en que algunos clientes de correo electrónico modernos muestran los mensajes en su bandeja de entrada significa que distinguir un correo electrónico malicioso de uno legítimo podría ser complicado. Sin embargo, si eres lo suficientemente cuidadoso, aún verás algunos errores que pueden avisarte.

El informe de ESET no dice si los phishers se molestaron en falsificar la dirección de correo electrónico del remitente, pero incluso si se ve bien, puede ver, por ejemplo, que el mensaje no contiene logotipos u otras características de formato que generalmente están asociadas con este tipo de comunicación . Además de esto, aunque hemos visto cosas mucho peores, el texto contiene algunos errores gramaticales, un regalo común en los ataques de phishing.

Aquellos que no se dan cuenta de los errores gramaticales aún pueden detectar el dominio que aloja la página de phishing. Los piratas informáticos pueden poner fácilmente un candado verde en la barra de direcciones de su navegador, pero no pueden cambiar la dirección real, lo que significa que un simple vistazo a la URL le mostrará que no está ingresando su información en el verdadero PayPal sitio web.

E incluso si no ve eso, aún puede notar algunas cosas que parecen extrañas, así como algunas otras que parecen francamente incorrectas.

El desafío CAPTCHA al comienzo del ataque es una adición interesante, por ejemplo. Por un lado, su ubicación parece lógica debido al hecho de que alguien supuestamente ha estado intentando ingresar a su cuenta. Por otra parte, un desafío CAPTCHA en esta etapa en particular es inusual, lo que podría hacerte pensar dos veces antes de continuar.

Es mucho más probable que se dé cuenta de que algo anda mal cuando la página de phishing le solicita su contraseña de correo electrónico. PayPal nunca debería tener este tipo de información, y nunca la solicitaría. Esperamos sinceramente que cuando vean esta solicitud en particular, muchos de ustedes sepan instantáneamente que están siendo estafados. Desafortunadamente, para entonces, ya habrán entregado toneladas de información personal, lo que demuestra que la única forma real de mantenerse a salvo es mantener los ojos bien abiertos en todo momento y tener cuidado con cada clic.

January 2, 2020

Deja una respuesta