¿Cuándo un ataque de phishing no es un phishing? Esa es la pregunta que planteó el director de seguridad de la información de Fortiguard, luego de ser blanco de un nuevo ataque que utiliza una función legítima de PayPal, una dirección de correo válida y una URL aparentemente legítima.
Aquí te explicamos lo que necesitas saber sobre este nuevo tipo de ataque “sin phishing” a los usuarios de PayPal.
La evolución de los ataques de phishing: ahora PayPal en la mira
Los ataques de phishing están volviéndose cada vez más sofisticados.
Recientemente, se descubrió que los estafadores están utilizando mensajes de seguridad genuinos de Google para engañar a las víctimas y que entreguen sus credenciales.
Aunque siempre se recomienda no hacer clic en enlaces sospechosos, los ataques han evolucionado al punto en que incluso funciones legítimas están siendo explotadas por hackers.
Este ataque de PayPal es un ejemplo claro de lo que se conoce como un ataque “sin phishing”.
El director de seguridad de Fortiguard, Dr. Carl Windsor, destacó cómo un correo electrónico, aparentemente enviado por PayPal y utilizando una función legítima de solicitud de dinero, puede engañar incluso a personas con experiencia en seguridad.
Este ataque no sigue los métodos tradicionales de phishing, lo que lo hace mucho más peligroso. Windsor explica que “el correo electrónico, las URL y todo lo demás son perfectamente válidos”, pero el problema radica en que la solicitud de pago puede parecer legítima, aunque tiene un pequeño pero crítico error que los usuarios pueden pasar por alto.
El ataque “sin phishing” de PayPal
En este tipo de ataque, el correo electrónico parece genuino y utiliza una función legítima de PayPal para solicitar un pago. Sin embargo, los atacantes manipulan la dirección de destino para que coincida con la del usuario que recibió el correo, lo que hace que la solicitud de pago se vea completamente legítima.
En este caso, la solicitud era por una cantidad significativa de $2,185.96, lo que hace que el ataque sea rentable a gran escala, pero aún “lo suficientemente pequeño” como para no levantar sospechas en muchas empresas.
Expertos en seguridad se pronuncian sobre los nuevos ataques a PayPal
Los expertos en seguridad han señalado que, si bien los ataques de phishing tradicionales son relativamente fáciles de detectar para los proveedores de correo electrónico, este tipo de ataque es mucho más difícil de identificar.
Utilizando una función legítima de PayPal y enviando el mensaje desde una fuente verificada, estos ataques son prácticamente indistinguibles de una comunicación genuina, lo que deja a PayPal como la única entidad capaz de mitigar el problema.
Aún más alarmante es que los atacantes están utilizando listas de distribución de correo para hacer que el ataque se vea aún más legítimo. Estos métodos dificultan que los proveedores de correo electrónico detecten el ataque a tiempo.
¿Cómo mitigar el ataque “sin phishing” de PayPal?
PayPal ha afirmado que toma todas las medidas necesarias para proteger a sus clientes de los ataques, incluida la investigación manual y el uso de tecnología avanzada para proteger las cuentas.
Los usuarios de PayPal probablemente ya hayan visto algunas de estas tecnologías en acción, como las notificaciones de fraude que alertan sobre posibles actividades sospechosas.
A pesar de estas medidas, los expertos insisten en que la mejor defensa contra estos ataques es la “Cortafuegos Humano”.
Esto significa estar entrenado para reconocer y ser cauteloso con cualquier correo electrónico no solicitado, por genuino que parezca.
Consejos de seguridad de PayPal para evitar fraudes
- Sé cauteloso cuando te pidan participar en una transacción, especialmente si no conoces a la persona o no le debes dinero.
- No pagues facturas o solicitudes de pago inesperadas ni respondas a ellas de ninguna forma, incluidas las solicitudes de información personal.
- Si ya compartiste información personal o hiciste clic en enlaces, cambia inmediatamente tu contraseña y contacta a PayPal y tu institución financiera.
- Habilita la autenticación de dos factores para proteger tu cuenta.
- Reporta cualquier correo de phishing enviándolo a phishing@paypal.com y luego eliminándolo.
Con estos consejos, los usuarios de PayPal pueden proteger mejor sus cuentas y evitar caer en estos sofisticados ataques “sin phishing”.