Los correos de phishing abundan por doquier, y se valen de estrategias de ingeniería social, probabilidad estadística de éxito al ser enviados a miles de personas, y la falta de concentración de algunos usuarios, para hacerlos caer en trampas que generalmente se pueden advertir de estar siempre atentos a los signos sospechosos.
En esta ocasión la firma de seguridad Eset, alerta sobre un nuevo correo fraudulento que está llegando a muchas personas, con el único objetivo de lograr robarles sus credenciales de Apple y tarjetas de crédito.
¿Compraste algo en iTunes? Así te tratan de engañar
La estafa es realmente sencilla, pero hay algunos errores de ejecución evidentes que nos ayudan a detectar que no se trata de un correo legítimo de Apple. En el mail se informa a la victima que aparentemente alguien ha adquirido una canción de Rihanna en iTunes sin su consentimiento, y se le solicita ingresar a un enlace para validar su cuenta.
Incluso una mirada a rápida al correo pondrá en evidencia fácilmente una gran cantidad de errores de redacción y ortográficos que definitivamente no encajan con un comunicado que Apple nos enviaría. Adicionalmente hay otros síntomas que deberían llamar nuestra atención, como que no se dirijen al usuario por su nombre, y que se provea un enlace que dirige a una página por fuera del dominio de Apple.
Con todo y esto, si la víctima no advierte el engaño y visita el enlace, va a llegar a una página (que el navegador marca como no segura) que luce como si fuera parte de iTunes, donde se nos pide validar los datos de nuestra cuenta, e incluso los datos de pago de nuestra tarjeta de crédito. Todo con el objetivo de robar la mayor cantidad posible de datos personales.
Al finalizar el proceso de “validación de cuenta” la víctima es redirigida a la página original de iTunes de Apple, haciendo más convincente el engaño. En este punto el usuario va a creer que todo está bien, y que logró evitar el uso indebido de su Apple ID. El simple hecho de poder acceder aun a su cuenta de forma normal va a reforzar esta creencia, pero la triste realidad, es que en ese punto sus datos ya están en manos del atacante, y es solo cuestión de tiempo para que su cuenta sea realmente robada.
Evita caer en la trampa
Como los engaños con correos phishing son de toda índole y tratan siempre de agarrarnos desprevenidos, a continuación les dejamos algunos consejos de seguridad para estar siempre alertas y no car en la trampa:
Desconfía de correos electrónicos inusuales: Cualquier cambio en los correos que las entidades legitimas te envían usualmente debería ser fuente de sospecha, como un logo distinto, otro formato de correo, o una redacción extraña o incluso errores de ortografía.
Verifica la autenticidad del mensaje: Si te ha llegado un correo de tu banco, por ejemplo, y no estás seguro de su autenticidad, ponte en contacto con ellos usando sus canales oficiales para aclarar la situación.
Desconfía de toda petición de credenciales: recuerda que un banco nunca te va a pedir que le envíes tus datos personales o credenciales de acceso. Lo mismo aplica para aquellos correos que te proporcionen algún enlace para validar tus datos.
No ingresar a los enlaces: Si planeas hacer una transacción o acceder a un sitio oficial, digita tú mismo la dirección en tu navegador. Los enlaces que envían los correos de phishing suelen llevar a páginas que imitan a la original haciéndonos creer que estamos en el servicio al que pensamos acceder.
Mantener una protección de antivirus actualizada: Puede que nuestro sentido común nos logre sacar de muchos apuros, pero hay estrategias de engaño tan elaboradas, que solo un buen antivirus podría detectar. Además, también es clave que actualices con frecuencia el sistema operativo de tu equipo y los navegadores o apps que utilizas a diario.
En Xataka Colombia | El hombre que logró robarle a Google y Facebook más de 100 millones de dólares mediante de engaños de phishing
Vía | welivesecurity