MENÚ

Por qué los ataques de 'phishing' suelen incluir falsas reseñas positivas de otros usuarios y en qué fijarnos para no caer

Publicado
Claves
  • Es habitual que los ataques de phishing incluyan comentarios positivos de perfiles falsos, tanto en redes sociales como en páginas web fraudulentas
  • El objetivo de estos comentarios falsos es que el usuario crea que está ante una oferta legítima
  • Cuando nos encontramos reseñas positivas se pone en marcha nuestro sesgo de norma social y tomamos decisiones en base a lo que opinan otros que están en situaciones similares
Comparte
Categorías
Recursos utilizados
Observación
Expertos

Los ataques de phishing se dan cuando los ciberdelincuentes se hacen pasar por una empresa o entidad que conocemos para hacerse con nuestros datos y nuestro dinero. Cuando estos ataques se alojan en una red social o una página web fraudulenta, suelen incluir comentarios positivos de perfiles falsos. Por ejemplo, en Maldita.es os hemos advertido de una falsa promoción de una tarjeta de transporte de Metro de Madrid que circula por Facebook. La publicación que se difunde cuenta con una serie de comentarios de supuestos usuarios que ya han conseguido su tarjeta por tan sólo dos euros.

Captura comentarios falsos en la publicación

“Me arriesgué y hoy entregaron la tarjeta. La probaré mañana”, afirma un supuesto usuario de la red social. Sin embargo, si entramos en su perfil, encontramos algunas señales sospechosas que indican que podría tratarse de una cuenta falsa: sólo tiene algunas fotos publicadas y todas el mismo día (26 de julio); sólo sigue a tres páginas de Facebook que, además, son páginas falsas que suplantan a otras marcas y el perfil no ofrece más información sobre el supuesto usuario. La foto de la tarjeta que acompaña al comentario es un montaje a partir de una imagen publicada por la Cadena SER:

Comparativa entre el montaje y la imagen original.

Por qué los timadores incluyen este tipo de comentarios falsos cuando intentan engañarnos

Josep Albors, responsable de Investigación y Concienciación de ESET España, explicó en la Maldita Twitchería Tecnológica que este tipo de comentarios “lo que hacen es reafirmar a la posible víctima que está en un sitio legítimo”.

Guadalupe Sierra, especialista en ciencias del comportamiento y ciberseguridad, explica a Maldita.es que, en el caso anterior, se pone en marcha el sesgo de norma social, que es cuando tomamos nuestras decisiones “en base a lo que opinan personas que pueden tener intereses o situaciones similares”. Otro detalle que recalca Sierra es la respuesta del supuesto community manager de la página a algunos comentarios, con el objetivo de hacer el timo más creíble.

“Otra palanca que usan es el elemento de la promoción y oferta (en época de inflación y subida de precios). Y la evaluación del riesgo que percibe la persona (perder dos euros) frente al posible beneficio (el año de viajes gratis) puede jugar a favor de que la gente haga clic”, afirma Sierra.

Según apunta la experta, los ciberdelincuentes están sofisticando mucho sus ataques: “El mensaje mal redactado del príncipe del continente africano son ya cosa del pasado, ahora se montan verdaderos casos complejos de engaño que le dan más credibilidad”.

Consejos para evitar ser víctima de ‘phishing’

Para evitar este tipo de engaños, Sierra recomienda revisar bien la URL a la que nos dirigen al pinchar en el enlace y comprobar en la web oficial de la empresa o entidad si la promoción existe o no. 

Aquí tienes otras recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza:

  • Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
  • Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.

Si piensas que has sido víctima de este fraude u otro similar, puedes contarnos tu historia escribiéndonos a [email protected].

Maldito Timo cuenta con el apoyo de:

Maldito Timo cuenta con el apoyo de ESET

logo eset