El último correo electrónico de phishing de PayPal va más allá de sus credenciales de inicio de sesión

09/01/2020
5 minutos de lectura aprox.

Comentarios

Otro día y otra estafa inteligente de phishing de PayPal para aprender a protegerse mejor a usted y a su empresa.

Gracias al gran incentivo que tienen, los estafadores siguen usando el nombre de PayPal para engañar a los usuarios para que hagan algo que no deberían hacer. Esta vez, han creado una nueva estafa de phishing que utiliza PayPal como apalancamiento; solo que esta vez, también han elevado sus expectativas. Los investigadores de ESET en América Latina descubrieron esta estafa, en la que los ciberdelincuentes se hacen pasar por el servicio de pago en línea para que los usuarios proporcionen cierta información confidencial, que incluye:

  • Acceder a credenciales
  • Información privada, incluida su dirección de correo
  • Información de su tarjeta de crédito o débito
  • Información de inicio de sesión de su cuenta de correo electrónico

Entonces, ¿cómo funciona esta estafa de correo electrónico de phishing de PayPal?

Presentando el cebo

Como especie, poseemos el tipo más complejo de cerebro y tenemos una psicología aún más compleja trabajando detrás de él. Sin embargo, tendemos a comportarnos de manera tan predecible en ciertas situaciones. Los piratas informáticos y los estafadores entienden esto bastante bien, y son excepcionales al usar esta verdad para su ventaja. Lo hacen mediante el uso de estafas de phishing.

La última estafa de correo electrónico de phishing de PayPal no es diferente, excepto que tiene una forma más inteligente de hacerlo.

Como ocurre con la mayoría de las estafas de phishing, todo comienza con un correo electrónico. Este correo electrónico (de alguna manera) parece haber venido de PayPal e infunde miedo al «informarle» de un inicio de sesión inusual desde un dispositivo desconocido. Luego le dice que asegure su cuenta para evitar cualquier pérdida financiera potencial.

Así es como se ve:

Email tipo Phishing PayPal
  • Facebook
  • Twitter
  • LinkedIn
Fuente de la Imagen: https://www.welivesecurity.com/wp-content/uploads/2019/12/Fig-1.png

Tirando de la caña de pescar

Una vez que un usuario ha sido enganchado, es hora de que el cibercriminal «tire de la caña de pescar». En el contexto de esta estafa, una vez que el usuario ha hecho clic en el enlace proporcionado en el correo electrónico, se lo dirige a un sitio web diseñado para parecerse al sitio web oficial de PayPal. Esta página web, a menudo escrita en inglés pobre, le dice que ellos (supuestamente PayPal) han notado alguna actividad inusual en su cuenta y le pide que ingrese un código captcha para continuar. Una cosa a tener en cuenta aquí es que, en lugar de llevarlo directamente a una página de inicio de sesión (falsa), los estafadores le piden que ingrese un código captcha. Psicológicamente, este es un movimiento inteligente. Es como jugar una mano real antes de farolear en el póker.

Otra cosa a tener en cuenta aquí es que la página web donde le llevan tiene un candado «seguro» junto a su URL. Los usuarios educados en buscar el indicador de seguridad del candado probablemente considerarán este sitio web como un sitio seguro. Así es como se ve esta página web:

Sitio web tipo Phishing de PayPal
  • Facebook
  • Twitter
  • LinkedIn
Fuente de la imagen: https://www.welivesecurity.com/wp-content/uploads/2019/12/phishing-PayPal-1.jpg

Si cae presa de esta trama, se lo dirige a una página falsa de inicio de sesión de PayPal y se le solicita que inicie sesión en su cuenta. Esta página se ve exactamente como la página de inicio de sesión real de PayPal. Primero, se le solicita su nombre de usuario y luego se le solicita su contraseña, tal como se le solicita en el sitio web oficial de PayPal.

Sitio web tipo Phishing de PayPal
  • Facebook
  • Twitter
  • LinkedIn
Fuente de la imagen: https://www.welivesecurity.com/wp-content/uploads/2019/12/phishing-PayPal-2.jpg
Sitio web tipo Phishing de PayPal
  • Facebook
  • Twitter
  • LinkedIn
Fuente de la imagen: https://www.welivesecurity.com/wp-content/uploads/2019/12/phishing-PayPal-3.jpg

Una vez que estás enganchado: es hora de ir más allá

Usted sabe lo que sucede cuando hace clic en el botón Iniciar sesión después de ingresar (regalar) sus credenciales, ¿verdad? Sin embargo, su información de usuario de PayPal no es lo único que buscan los estafadores en esta estafa de phishing en particular. Una vez que inicie sesión, se le pedirá que verifique su cuenta. Al igual que la página anterior, esta página también está escrita en inglés pobremente redactado. Le solicita que haga clic en el botón Continuar a PayPal.

Una vez que hace clic en ese botón, la siguiente fase de esta estafa de correo electrónico de phishing lo lleva a una serie de páginas web que le solicitan su información personal, como su dirección particular e información financiera. Al final, una vez más se le pide que ingrese sus credenciales de PayPal para «vincular una cuenta de correo electrónico».

Sitio web tipo Phishing de PayPal
  • Facebook
  • Twitter
  • LinkedIn
Fuente de la imagen: https://www.welivesecurity.com/wp-content/uploads/2019/12/phishing-PayPal-5.jpg
Sitio web tipo Phishing de PayPal
  • Facebook
  • Twitter
  • LinkedIn
Fuente de la imagen: https://www.welivesecurity.com/wp-content/uploads/2019/12/phishing-PayPal-6.jpg
Sitio web tipo Phishing de PayPal
  • Facebook
  • Twitter
  • LinkedIn
Fuente de la imagen: https://www.welivesecurity.com/wp-content/uploads/2019/12/phishing-PayPal-7.jpg
Sitio web tipo Phishing de PayPal
  • Facebook
  • Twitter
  • LinkedIn
Fuente de la imagen: https://www.welivesecurity.com/wp-content/uploads/2019/12/phishing-PayPal-8.jpg

Una vez que haga todo esto, aparecerá un mensaje que le indica que ha restaurado su cuenta con éxito. Sin embargo, esto no podría estar más lejos de la verdad: lo que ha hecho es prácticamente envolver su identidad en un paquete bonito y se lo regalo al cibercriminal. Ahora, su información está disponible para que la usen indebidamente mediante diversas formas de fraude. Ese es el resultado de la última estafa de correo electrónico de phishing de PayPal.

Palabras finales

No importa cómo maldigamos a los piratas informáticos y los estafadores, tenemos que reconocer que son bastante inteligentes cuando se trata de engañarnos. Conocen nuestros puntos de dolor, saben como responden nuestros cerebros a situaciones específicas y saben cuán ignorantes o inocentes podemos ser. Somos como peces que toman el cebo brillante que arrojan para capturarnos. Ahora sabe por qué lo llaman «phishing».

No importa cuán inteligentes sean los cibercriminales, siempre podemos estar un paso por delante de ellos. Todo lo que necesitamos es un poco de conciencia de seguridad cibernética y ejercer nuestras habilidades de observación. Ninguna estafa de phishing en el mundo puede engañarle si está alerta.

Articulos relacionados

Las 4 razones principales por las que necesita una VPN

Las 4 razones principales por las que necesita una VPN

Tómese un minuto y piense cuántas veces el Wi-Fi público ha sido una fuente de gran conveniencia para usted. Ahora, piense cuántas veces ha revisado su cuenta bancaria o iniciado sesión en sus redes sociales en una conexión Wi-Fi pública. ¿Sabía que ingresar su...

Forzar redireccionamiento HTTPS

Forzar redireccionamiento HTTPS

Hemos hablado mucho sobre los certificados SSL en el Blog de Nodored desde hace varios meses, así como en muchas otras vías. No se puede subestimar la importancia de tener un Certificado SSL para cualquier sitio web en la actualidad. De hecho, una de las solicitudes...

0 Comentarios

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Te resulto útil este articulo?

Suscríbite a nuestro boletín





¡Compartelo!

Comparte este post con tus amigos