Los ataques de phishing se dan cuando los ciberdelincuentes se hacen pasar por una empresa o entidad que conocemos para hacerse con nuestros datos y nuestro dinero. Cuando estos ataques se alojan en una red social o una página web fraudulenta, suelen incluir comentarios positivos de perfiles falsos. Por ejemplo, en Maldita.es os hemos advertido de una falsa promoción de una tarjeta de transporte de Metro de Madrid que circula por Facebook. La publicación que se difunde cuenta con una serie de comentarios de supuestos usuarios que ya han conseguido su tarjeta por tan sólo dos euros.
“Me arriesgué y hoy entregaron la tarjeta. La probaré mañana”, afirma un supuesto usuario de la red social. Sin embargo, si entramos en su perfil, encontramos algunas señales sospechosas que indican que podría tratarse de una cuenta falsa: sólo tiene algunas fotos publicadas y todas el mismo día (26 de julio); sólo sigue a tres páginas de Facebook que, además, son páginas falsas que suplantan a otras marcas y el perfil no ofrece más información sobre el supuesto usuario. La foto de la tarjeta que acompaña al comentario es un montaje a partir de una imagen publicada por la Cadena SER:
Por qué los timadores incluyen este tipo de comentarios falsos cuando intentan engañarnos
Josep Albors, responsable de Investigación y Concienciación de ESET España, explicó en la Maldita Twitchería Tecnológica que este tipo de comentarios “lo que hacen es reafirmar a la posible víctima que está en un sitio legítimo”.
Guadalupe Sierra, especialista en ciencias del comportamiento y ciberseguridad, explica a Maldita.es que, en el caso anterior, se pone en marcha el sesgo de norma social, que es cuando tomamos nuestras decisiones “en base a lo que opinan personas que pueden tener intereses o situaciones similares”. Otro detalle que recalca Sierra es la respuesta del supuesto community manager de la página a algunos comentarios, con el objetivo de hacer el timo más creíble.
“Otra palanca que usan es el elemento de la promoción y oferta (en época de inflación y subida de precios). Y la evaluación del riesgo que percibe la persona (perder dos euros) frente al posible beneficio (el año de viajes gratis) puede jugar a favor de que la gente haga clic”, afirma Sierra.
Según apunta la experta, los ciberdelincuentes están sofisticando mucho sus ataques: “El mensaje mal redactado del príncipe del continente africano son ya cosa del pasado, ahora se montan verdaderos casos complejos de engaño que le dan más credibilidad”.
Consejos para evitar ser víctima de ‘phishing’
Para evitar este tipo de engaños, Sierra recomienda revisar bien la URL a la que nos dirigen al pinchar en el enlace y comprobar en la web oficial de la empresa o entidad si la promoción existe o no.
Aquí tienes otras recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza:
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Contrasta con las fuentes antes de dar tus datos o pulsar un enlace. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp (+34 644 22 93 19). También puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o utilizar su línea de ayuda en ciberseguridad.
Si piensas que has sido víctima de este fraude u otro similar, puedes contarnos tu historia escribiéndonos a [email protected].
Maldito Timo cuenta con el apoyo de: