2020-09-29

¿Cómo nos engañan los malos?

Príncipe Felipe. Engaño visual
Solemos culpabilizar a la gente cuando le engañan en internet. Lo cierto es que caer en algunas trampas es bastante fácil y que nos pueden pillar con la guardia baja. De un intento de engaño nos hablan en
Anatomy of a rental phishing scam 🎣
. Es un poco más técnico de lo habitual, pero puede ser interesante.

Los intentos de engaño pueden ser muy convincentes y no tienen por qué estar mal escritos como suelen decirnos:


I’m writing this to illustrate that the best phishing attacks will look very convincing. Often people are told to watch out for poor grammar and formatting to protect against phishing.


Se trata de un proceso de alquiler, a través del conocido sitio (al menos en EEUU craiglist).
Primero recibe un mensaje del propietario proponiendo cambiar el canal de comunicación (en lugar del sistema interno del sitio, pasar al correo electrónico):


I get a text from the landlord telling me to contact him at “davidgrinde@engineers-hibernia-chevron.ca”. You might think this would have seemed odd to me, but honestly the rental search involved lots of ridiculousness about phone number and emails and runarounds.


Luego, parece que no tiene muy buena conexión:


The fact that the landlord says he is away most of the time seemed a little unusual, but not by that much. Plenty of the landlords I contacted in this search lived far away.


Finalmente, le redirigió a Airbnb como método de pago y de referencia. Con muchas fotos del presunto propietario para causar mejor impresión.


The first red flag was “So we’ll keep our communication to email if that’s ok with you”. The second was the weirdness about Airbnb. Why would they want me to pay through Airbnb? The third was the excessive amount of pictures to convince me this was a real person. If they were in fact a real person, why were they trying so hard to convince me?


Insisten en que le busquen en este sitio y no les encuntra, así que pide ayuda:


But wait, I couldn’t find their place on Airbnb. So I asked for the link again…


Y entonces recibe un enlace directo a un sitio de Airbnb, que no era de Airbnb (un enlace engañoso).
Con reseñas, buenas calificaciones y todo eso.

Lo que llama la atención en este caso es que el inglés era bueno, los correos parecían muy profesionales, y el sitio con el phishing tenía el aspecto perfectamente correcto:


The phishing team—and given the work involved and the level of polish I bet it was a team—ran a pretty tight operation. Their English was perfect, their emails looked professional, and their phishing site looked identical the original Airbnb site.


También los trucos sicológicos: dejan información incompleta para que tengamos que preguntar, de forma que no sospechamos de que nos estén intentando engañar:


I’m even more impressed by their subtle psychological tricks. Each step of the way, they left out information which required me to ask for something if I wanted to proceed. It’s a lot easier to be on your guard when others are asking you for things. When you’re the one doing the asking, it’s even harder to say something when things look strange, because you may already feel like you’re being a burden on their time.


Añaden un sitio 'de confianza', como Airbnb para alejar nuestras sospechas:


Finally, using Airbnb as the phishing site was clever, because it gave the impression of a trusted middleman. I was genuinely thrown off at first, because I couldn’t figure out how they were planning to steal my financial information.


El primer consejo sencillo, recordar fijarse bien en los enlaces que nos proporcionan:


When engaging with strangers online, always check the source of their links!


Recordar que la dirección de envío del correo es fácil de falsear:


Remember sender email addresses can be spoofed and domain names may not be what they appear!


Busquemos señales de que nos estan intentando engañar:


Look for signs that someone is toying with you. Does it seem like they’re trying to convince you that they’re real? Are they projecting a sense of urgency?


Utiliza la red y sus posibilidades para tratar de verificar la identidad de la otra persona:


Use multiple channels to verify someone’s identity. The first red flag here was the scammer saying they could only interact by email.


Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2020-09-29 17:34 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

Referencias (TrackBacks)

URL de trackback de esta historia http://fernand0.blogalia.com//trackbacks/78264

Comentarios

<Septiembre 2024
Lu Ma Mi Ju Vi Sa Do
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30