Mi día empezó duro.
Eran las 7 a.m., y estaba a medio camino de mi primera taza de café, cuando noté un nuevo mensaje en mi bandeja de entrada de correo electrónico.
Era de PayPal y el asunto decía: “Tienes una solicitud de dinero”.
Y así comenzó mi primer vistazo a esta estafa de phishing de PayPal de tres partes.
La pregunta
No conozco a nadie que me pida dinero a través de PayPal y espere razonablemente obtenerlo, especialmente sin avisarme con anticipación que me están facturando algo. Empecé a investigar la solicitud de dinero en mi casilla de Gmail.
En Gmail, puede hacer clic con el botón derecho en el remitente del mensaje antes de abrir el mensaje para ver la dirección de correo electrónico completa.
El mensaje era de PayPal, así que me sentí lo suficientemente seguro al abrirlo. Una vez dentro del mensaje, volví a mirar al remitente y seguía siendo PayPal. El cuerpo del mensaje decía ser de Susan Bowman. Aquí, echa un vistazo al mensaje.
El error “fraudulentamente” en lugar de “fraudulento” es una señal allí. Pero la oración que me llamó la atención fue “Hoy se le cobrará $ 699. 99”. Curiosamente, hubo un espacio entre el período posterior a $ 699 y el 99. La puntuación y la ortografía extrañas a menudo son indicadores de un mensaje fraudulento.
También: Este ataque de phishing usa un reloj de cuenta regresiva para asustarte
Otra parte del mensaje decía: “Llámenos lo antes posible al número gratuito [REDACTED]. para cancelar y reclamar un reembolso”. Había un punto después del número de teléfono, justo en el medio de la oración. Otra cosa importante a tener en cuenta era que la idea del mensaje era hacerme llamar a un número que se suponía que debía creo que fue PayPal, para evitar que se enviaran los $ 699.99 La urgencia es otro elemento común de las estafas de phishing.
La parte inferior del mensaje tenía un botón Pagar ahora y una identificación de transacción de PayPal. Hago mucha codificación usando la API de PayPal. De hecho, se parecía a lo que normalmente se ve una identificación de transacción de PayPal. Resultó que era una identificación de transacción real que se había creado en el sistema real de PayPal. Más sobre ello en un minuto.
Llegar a PayPal
En lugar de hacer algo con el mensaje en sí, fui directamente a PayPal. Apunté mi navegador a PayPal.com y, después de verificar mi identidad con autenticación de dos factores, inicié sesión.
Me desplacé hacia abajo en la página y, de hecho, había actividad reciente de Susan Bowman. La siguiente captura de pantalla muestra la transacción como cancelada, pero cuando inicié sesión por primera vez, el elemento de actividad figuraba como pendiente.
Hice clic en el botón Ayuda en la parte superior de la pantalla y me desplacé hacia abajo hasta que encontré la opción Contáctenos. Hice clic en eso, y después de los saltos de aro habituales, me encontré hablando con un agente en la operación de fraude de la compañía.
Le expliqué la situación. El agente sabía exactamente por qué estaba llamando y me aseguró que no se había enviado dinero. También me guiaron sobre cómo cancelar esta transacción.
también: Esta estafa de phishing comienza con una factura falsa
Si hace clic en una transacción de dinero solicitada, hay dos botones entre los que puede elegir. Uno es Enviar dinero y el otro es Cancelar. Desafortunadamente, no tomé una captura de pantalla antes de cancelar. Estaba mucho más concentrado (recuerden, todavía estaba en mi primera taza de café) en cancelar la transacción.
Hice clic en el botón Cancelar y la transacción finalizó. No se perdió dinero. Luego, tuve una pequeña charla con el agente de PayPal y aprendí algunas cosas…
Anatomía de un intento de fraude triple
Este fue un intento de fraude triple, en el que los atacantes tenían tres formas diferentes de ganar.
Como sospeché, y el agente lo confirmó, probablemente no fui un objetivo personal. En cambio, mi dirección de correo electrónico fue una de las miles arrojadas contra la pared para ver qué se quedaba.
Si bien la dirección de correo electrónico utilizada para esta cuenta no era una de mis cuentas más utilizadas, mis direcciones de correo electrónico han estado en Internet durante décadas, por lo que sin duda están disponibles para los atacantes.
También: Los piratas informáticos suelen utilizar estos tipos de archivos para ocultar malware
Cualquiera puede pedir dinero a alguien a través de PayPal. Todo lo que necesitan hacer es introducir una dirección de correo electrónico en la interfaz de PayPal y solicitar dinero. Es una gran parte de lo que hace PayPal, y es un servicio que brinda mucho valor legítimo a muchas personas.
Una vez que se ingresa esa dirección de correo electrónico, PayPal hace la mayor parte del trabajo. Esto lo hace bastante ideal para los atacantes de phishing.
Hay tres formas en que funciona este ataque:
Punta n.° 1: Pago a través de PayPal: La primera punta del ataque fue la solicitud de $699.99. Si bien es poco probable que alguien que sea atacado con este ataque haga clic en “Enviar dinero”, todo lo que se necesita es que una o dos personas lo hagan para que todo el ataque valga la pena desde la perspectiva del estafador. No preste suficiente atención, haga clic en el botón equivocado y ¡zas! El dinero se fue.
Vertiente n.° 2: pague marcando los dígitos: El agente de PayPal me dijo que la segunda vertiente del ataque que a menudo también brinda valor a los estafadores es el número de teléfono al que le piden que llame.
Según el estafador, el número en sí puede ser facturable. Se llama un “estafa telefónica de un solo timbre” y funciona falsificando números, posiblemente conectándolo a un número internacional en el que se le cobra simplemente por conectarse al número.
Vertiente n.° 3: pague regalando demasiada información personal: El gran resultado, me dijo el agente de PayPal, es en realidad la tercera punta del ataque. Ahí es cuando alguien recibe el correo electrónico y llama al número que cree que es PayPal para evitar el pago.
Es en este punto que los estafadores, fingiendo ser el departamento de fraude de PayPal, comienzan a hacer preguntas y, cuando terminan, separan a sus víctimas de un tesoro oculto de información de identificación personal, que puede generar ataques adicionales en el futuro e incluso se puede vender a otros estafadores y delincuentes.
Cómo protegerse
Mi mayor consejo es simple: presta atención. No pase el día simplemente haciendo clic sin pensar para acceder a su correo electrónico. Estar presente y notar las cosas.
A continuación, sigue mi consejo sobre protegerse del fraude con tarjetas de crédito y revisa tus cuentas bancarias y tarjetas de crédito cada semana. Mantenga un ojo activo en sus finanzas y podrá detectar intentos de fraude antes de que sea demasiado tarde para solucionarlos.
En cuanto a PayPal, comprenda que PayPal nunca enviará el pago sin su consentimiento explícito. La única excepción a esto es si te registras para una suscripción o una donación recurrente. Pero incluso entonces, PayPal no comenzará el proceso de envío de dinero a menos que lo haya aprobado explícitamente.
No haga clic en enlaces en mensajes de correo electrónico sospechosos. No llame a números que no pueda verificar de forma independiente. Asegúrese de que todas sus cuentas tengan autenticación de dos factores.
Siempre actualice su sistema operativo y navegador cuando se le solicite. Eso ayudará a evitar que los ataques de día cero se apoderen de su máquina.
Y, finalmente, haga una copia de seguridad de sus dispositivos. Sigue mi consejo e instituye una Estrategia de respaldo 3-2-1. De esa forma, si te ataca un malware o algún otro ataque, puedes recuperarte más rápidamente.
Buena suerte. Mantenerse a salvo. Háganos saber si tiene otros consejos de seguridad en los comentarios a continuación.
Puedes seguir las actualizaciones de mi proyecto día a día en las redes sociales. Asegúrate de seguirme en Twitter en @DavidGewirtzen Facebook en Facebook.com/DavidGewirtzen Instagram en Instagram.com/DavidGewirtzy en YouTube en YouTube.com/DavidGewirtzTV.