El phishing es una de las tácticas de ingeniería social más comunes que usan los piratas informáticos para hacer que sus víctimas divulguen su información personal. El informe sobre las Tendencias de Amenazas de Seguridad Cibernética emitido por CISCO en el año 2021 reveló que el phishing representa al menos el 90% de los ataques que implican violaciones de datos.
Los ataques phishing pueden tomar muchas formas, dependiendo de cuán astuto sea el estafador. Una de las tácticas más nuevas es el phishing de Angler.
Al igual que un ataque de phishing clásico, el phishing Angler tiene como objetivo engañar a las víctimas para que éstas divulguen sus detalles personales, datos financieros y otro tipo de información confidencial.
Pero en lugar de dirigirse a los usuarios a través del correo electrónico, los ataques de Angler son dirigidos a nuestras cuentas de las redes sociales. Es posible contrarrestar estos ataques a nivel organizacional con conocimiento profundo y buenas prácticas de seguridad.
Entonces, ¿qué es un ataque de phishing Angler?
¿Cómo se evitan los correos electrónicos de phishing Angler? Estas son solo algunas de las preguntas que abordaremos en este artículo. ¡Sigue leyendo para aprender!
¿Qué es el phishing Anlger?
El phishing Angler es una táctica nueva de estafa a través de la cual los piratas informáticos se hacen pasar por personal de atención usando plataformas y cuentas de redes sociales. Su misión es engañar a clientes insatisfechos con un servicio para que revelen detalles personales.
El phishing Angler tiene este nombre gracias a una criatura acuática, el rape, un pez que se caracteriza por cazar otros peces; este tiene un rayo de aleta luminiscente con la cual atrae a sus presas antes de devorarlas.
Los atacantes de phishing Angler usan tácticas similares para pescar a sus presas, estos crean cuentas falsas en las redes sociales de empresas de renombre o que no tienen presencia en una red específica, su frente más común son instituciones financieras.
Cuando un usuario insatisfecho intenta ponerse en contacto con la empresa a través de Twitter, Facebook o Instagram, este es capturado por phisher Angler. Estos solicitan a las víctimas que completen procesos específicos para luego redirigirlas a sitios maliciosos controlados por ellos mismos.
¿Cómo funciona el phishing Angler?
El phishing Angler está dirigido en contra de clientes descontentos con productos o servicios de una empresa, estos ataques empiezan cuando un cliente se queja de los servicios de una institución financiera o una empresa de servicios en las redes sociales a través de un post público.
Un buen ejemplo de esto es cuando un cliente se queja de problemas de acceso a su cuenta bancaria; si la persona es descuidada y menciona el nombre de la empresa, el atacante crea un perfil falso a una velocidad asombrosa y se pone en contacto con el objetivo, haciéndose pasar por un agente de atención al cliente de la compañía y ofreciendo asistencia.
Durante su interacción, el atacante solicita al cliente que proporcione datos personales o haga clic en un enlace para resolver el problema; si la víctima hace clic en el enlace, es redirigido a un sitio falso que le pide que le solicite ingresar sus datos bancarios.
Si la víctima no se da cuenta de la estafa e ingresa sus datos, el atacante tiene éxito y usa la información obtenida para llevar a cabo sus dudosos planes. También existen otros casos en los cuales el hacer clic en el enlace infecta tu sistema con malware.
¿Cuál es el objetivo?
Los atacantes ejecutan el phishing Angler en todas las redes sociales; similar al phishing normal, cualquiera persona puede ser víctima de este tipo de ataque. Si estás usando un servicio y expresas opiniones respecto a este en las redes sociales, puedes convertirte en objetivo. Es importante tener presente que las instituciones financieras son los objetivos más comunes entre las empresas suplantadas, debido a la poca presencia de este tipo de instituciones en redes sociales.
¿Por qué es efectivo el phishing Angler?
El phishing Angler es efectivo porque la gran mayoría de usuarios en las redes sociales esperan que un representante de atención al cliente de una empresa prestadora de servicios se comunique con ellos cuando se quejan en línea. A un agente de atención al cliente real le toma un tiempo poder ponerse en contacto con el cliente, por lo que los phishers se aprovechan de esto para atraer a sus víctimas.
Otra razón por la que los clientes son víctimas de estos ataques es el siempre falible “factor humano” que surge debido a la ira o frustración. La víctima al ser contactada, no verifica el perfil en busca del logotipo oficial, o la marca de verificación «verificado», o el historial de servicio con las opiniones de otros clientes. Incluso si lo hacen, es posible que se deje de notar un detalle clave. La combinación de enojo y la incapacidad de ser observador es el combo perfecto para revelar tu información personal.
Esto nos lleva a la pregunta: ¿Cuáles son las pistas que debemos notar para evitar el phishing? Hablemos de las diversas formas para evitar el phishing Angler.
Cómo evitar el phishing Angler
El phishing Angler tiene tanto éxito porque es un ataque de ingeniería social que se vale de factores altamente básicos. La mayoría de las personas no saben que los piratas informáticos también se esconden en las redes sociales y compilan cualquier información que puedan usar en tu contra. Este tipo de ataque es diferente a otras formas de phishing, por lo que no todas las técnicas de defensa contra este tipo de ataques funcionan. A continuación, te presentamos algunas de las mejores prácticas para evitar el phishing Angler.
Verifica la cuenta de la empresa
Antes de responder a cualquier persona que te haya contactado, confirma que la cuenta es legítima, la mayoría de las cuentas de redes sociales en plataformas como Instagram y Twitter tienen un checkmark de color azul que indica la verificación del nombre de la cuenta, lo cual confirma su legitimidad.
Revisa el perfil en búsqueda de faltas de ortografía y fíjate en el número de seguidores; una cuenta de atención al cliente de una institución verificada tiene muchos seguidores. Verifica el historial del perfil para confirmar si la cuenta ha ayudado con éxito a un cliente anteriormente, fíjate en las valoraciones de otros usuarios.
Visite el sitio web oficial de la empresa y consulte su sección de «Contáctenos» para ver si la cuenta se menciona en redes sociales como punto de contacto.
Etiqueta cuentas de soporte específicas
La mayoría de la gente recurre a las redes sociales porque es una de las formas más rápidas de responder consultas o captar la atención de una compañía que quiere evitar una mala valoración; como es de esperarse los atacantes aprovechan esta situación para estafar a clientes impacientes.
Ponerse en contacto con páginas comerciales es eficiente, pero las empresas más grandes tienen cuentas individuales que manejan específicamente para sus quejas de clientes. Puedes etiquetar estas cuentas oficiales cuando tengas una queja que plantear en las redes sociales, tales como Twitter e Instagram. Ten presente que solo es recomendable responder a estas cuentas una vez que estas te respondan de vuelta.
Ponte en contacto con la empresa usando otros canales si tienes dudas
No te apresures a responder a nadie que se comunique contigo en línea; si tiene dudas, es mejor comunicarse directamente con la empresa. Tomar precauciones adicionales antes de una fatalidad es la mejor prevención, de esta manera, no tendrás que preocuparte por tener un impase con el agente que te contactó.
Evite hacer clic en enlaces
Los enlaces son una de las formas en la que los estafadores llevan a cabo sus ataques de phishing. No hagas clic en enlaces de fuentes sin verificar, nunca envíes información confidencial como tus datos de inicio de sesión a nadie, incluso si se trata de un agente de atención al cliente. Un atacante siempre crea sensación de urgencia para hacerte sentir que no tienes más opción que hacer lo que dicen.
Reporta cuentas falsas a las autoridades
Si te das cuenta que hay una cuenta falsa de tu empresa en las redes sociales, repórtalo inmediatamente al servicio de soporte de la red social en cuestión. Notifica a tus clientes de la situación para que no sean víctimas de ninguna estafa. Sería positivo que les invites a informarte a ti y a tu comunidad sobre cualquier clase de suplantación.
Educa a tus usuarios sobre cómo evitar las estafas por correo de phishing y ofréceles canales de contacto alternativos. Si cambias o actualizas los procedimientos de atención al cliente (tal como la implementación de chat en vivo, o contacto directo vía correo electrónico o una nueva opción de contacto en las redes sociales), informa a tus usuarios de inmediato.
No dejes de ponerte en contacto a través de los canales adecuados en tus redes sociales
A lo mejor estás pensando que es mejor dejar de mencionar a las compañías que te prestan sus servicios en las redes sociales, ¿verdad? ¡Falso! No debes dejar de hablar con tus marcas favoritas en tus canales de comunicación favoritos debido a los peligros de caer como víctima.
Estos canales son eficientes para involucrar a la comunidad, e incluso presionar a las empresas para que resuelvan problemas que preocupan a muchos de sus usuarios.
Lo único por lo que debes preocuparte es de asegurarte de que estás hablando con la persona adecuada.
Pensamientos de cierre
Los ataques de phishing Angler están en aumento, estos aprovechan las consultas de clientes para solicitar datos confidenciales, que luego son usados para el robo de identidad y otros fraudes.
Si bien la tasa de éxito del phishing Angler es alarmante, las redes sociales siguen siendo una de las herramientas de comunicación más efectivas tanto para empresas como para clientes.
Con el conocimiento adecuado acerca de cómo evitar los correos de phishing, puedes prevenir estos ataques de manera efectiva, e incluso mejorar la vida de los demás usuarios, creando apropiado sentido de comunidad y uniendo fuerzas para resolver un mal común.