Noticias Tecnológicas

Asegure su vida digital, tercera parte: cómo los teléfonos inteligentes nos hacen vulnerables

Agrandar / En esta historia aprenderemos sobre la «matanza de cerdos».

Aurich Lawson / Getty Images

Se estima que hay más teléfonos inteligentes en este planeta que personas que los usan. Las personas que nunca han usado una computadora de escritorio usan teléfonos inteligentes y otros dispositivos móviles todos los días y han estado conectados a ellos durante gran parte de sus vidas, quizás más de lo que deberían.

Como resultado, los capturadores cibernéticos han cambiado su enfoque de enviar correos electrónicos a usuarios de PC crédulos (que pretenden ser príncipes nigerianos que necesitan ayuda bancaria) y, en cambio, tienen la vista puesta en el objetivo más fácil de los usuarios de teléfonos celulares. Los delincuentes usan aplicaciones de teléfonos inteligentes y mensajes de texto para atraer a las personas vulnerables a trampas, algunas con consecuencias puramente financieras, otras que realmente ponen a las víctimas en peligro físico.

Recientemente, describí algunas formas de proteger un poco nuestras vidas digitales, pero las tendencias recientes en el fraude en línea han demostrado la facilidad con la que los teléfonos inteligentes y sus aplicaciones pueden usarse contra sus usuarios. Vale la pena revisar estos escenarios del peor de los casos para ayudar a otros a identificarlos y evitarlos, y no solo estamos hablando de ayudar a los usuarios mayores con ellos. Esto afecta a todos.

Oh, oh, Hoodie McHackerman ha vuelto y ahora está detrás de tus teléfonos.
Agrandar / Oh, oh, Hoodie McHackerman ha vuelto y ahora está detrás de tus teléfonos.

PeopleImages / Getty Images

Me han contactado personalmente una amplia variedad de personas que han sido víctimas de estafas centradas en dispositivos móviles y personas que se han expuesto y se han atacado a sí mismas a través de vulnerabilidades de seguridad inesperadas creadas a través de interacciones de aplicaciones móviles. Para algunos, estas experiencias han destrozado su sentido de privacidad y seguridad, y para otros, estas estafas han costado miles (o decenas de miles) de dólares. En este contexto, vale la pena brindarle a usted y a su familia información y mucho escepticismo.

Phishing de SMS dirigido

En los últimos dos años ha habido un gran aumento en las estafas de phishing por SMS dirigidas a información personal, en particular credenciales de sitios web e información de tarjetas de crédito. A veces llamados «smishing», los mensajes de phishing por SMS suelen contener una llamada a la acción que motiva al destinatario a hacer clic en un enlace, un enlace que a menudo conduce a una página web que se utiliza para proporcionar nombres de usuario y robo de contraseñas (o hacer algo peor). . Estos mensajes de texto no deseados no son nada nuevo, pero se están volviendo más específicos.

En 2020, la FTC informó que los consumidores estadounidenses perdieron $ 86 millones por SMS fraudulentos, y la FCC incluso llegó a emitir una advertencia de fraude por mensaje de texto COVID-19. Claro, eres inteligente y nunca revelarías tu información personal a un mensaje de texto incompleto. Pero, ¿qué pasa si el texto incluye su nombre, junto con suficiente información correcta como para ser la más mínima preocupación para usted? ¿Como un mensaje de texto supuestamente de su banco pidiéndole que inicie sesión para confirmar o disputar un cargo de tarjeta de crédito de $ 500 en Walmart?

Las estafas móviles están en todas partes, pero generalmente no las llevan a cabo tipos espeluznantes con sudaderas con capucha, independientemente del arte del palo.
Agrandar / Las estafas móviles están en todas partes, pero generalmente no las llevan a cabo tipos espeluznantes con sudaderas con capucha, independientemente del arte del palo.

BrianAJackson / Getty Images

Ese es el tipo de mensaje que recibí recientemente. Si no hubiera leído el mensaje con atención o notado que provenía de un número de teléfono falso que no estaba conectado a mi banco o no me hubiera recordado que nunca había dado mi consentimiento para enviar mensajes de texto con mi banco, podría haber hecho clic.

En su lugar, entré en la aplicación móvil de mi banco y encontré un aviso en la página de inicio de sesión de que los clientes habían experimentado un intento de fraude a través de SMS. Tomé el enlace en mi computadora y bajé la página usando wget. El enlace apuntaba a una página de Google App Engine que contenía, en un elemento IFRAME, un enlace a un sitio web ruso que intentó emular el inicio de sesión del sitio web del banco.

Las estafas de SMS como esta se hacen más fáciles por la avalancha de datos públicos y la agregación de datos personales por parte de los especialistas en marketing. Con demasiada frecuencia, este tipo de datos se recopilan en bases de datos que se filtran o piratean. Los estafadores pueden dirigirse a un gran número de clientes de una marca en particular simplemente vinculando su relación con una empresa a sus números de teléfono. No tengo buenos datos científicos sobre la prevalencia de smishing dirigido, pero una muestra de familiares y amigos muestra que no es solo un problema temporal: en algunos casos, representa la mitad de los mensajes de texto diarios que recibe.

La mayor parte de esto corresponde a anuncios web emergentes. Se dice que algunos de los mensajes SMS dirigidos que he visto provienen de servicios populares, como Netflix:

Netflix: [Name], actualice su membresía con nosotros para buscar más. [very sketchy URL]

El enlace roto condujo a un sitio web que afirmaba que mi último pago había sido rechazado y que tenía 48 horas para reactivar mi cuenta.

Una página realmente muy esquemática.
Agrandar / Una página realmente muy esquemática.

Hacer clic en este enlace lo lleva a una serie de feeds de página operados por un sitio «rastreador» configurado para filtrar los clics sospechosos (como los de los navegadores de PC) y solo orientar los navegadores móviles a los que Destino envía, en este caso, un Netflix. -Parece un servicio que intenta engañarte para que te registres como miembro. Su dirección IP es uno de los argumentos que se pasan a la URL final para mantener las áreas no deseadas fuera de los «clientes».

Esto es, por supuesto, un fraude fácil. Pero los mismos sitios de rastreadores son utilizados por una amplia variedad de estafas, incluidas las estafas de SMS y «alertas falsas» emergentes en los navegadores móviles. Este tipo de estafas a menudo implican llamadas a la acción urgentes. Otro aspecto común es la afirmación de que se está «rastreando la dirección IP del destinatario en busca de virus» con un enlace que conduce a una página de la tienda de aplicaciones, generalmente algún tipo de aplicación de red privada virtual cuestionable almacenada en los pagos integrados en la aplicación. «a través de las tiendas de aplicaciones de Apple o Google para un servicio que no funciona. O el servicio lo hace funcionan, pero no de la manera que el propietario del dispositivo desea.

Aplicaciones de vellón y aplicaciones falsas

A pesar de los esfuerzos de las grandes empresas para validar la seguridad de las aplicaciones antes de ponerlas a disposición para su descarga en las tiendas de aplicaciones, los desarrolladores fraudulentos introducen regularmente cosas desagradables en los mercados de iOS y Android: aplicaciones desagradables, baratas o «gratuitas» de utilidad limitada (o inexistente) que atraen a los usuarios a pagar grandes sumas de dinero.

Instale esta aplicación O DE OTRO MODO.
Agrandar / Instale esta aplicación O DE OTRO MODO.

Chanin Wardkhian / Getty Images

A menudo, estas aplicaciones se presentan como gratuitas, pero ofrecen pagos dentro de la aplicación, incluidas las tarifas de suscripción que vencen automáticamente después de un «período de prueba» muy corto que puede no ser completamente transparente para el usuario. A menudo denominadas «fleeceware», aplicaciones como esta pueden cobrar lo que el desarrollador quiera de forma repetitiva. E incluso pueden seguir generando cargos después de que un usuario haya desinstalado la aplicación.

Para asegurarse de que no se le facturen las aplicaciones que eliminó, debe verificar su lista de suscripción (esto funciona de manera diferente en iOS y Google Play) y eliminar las que no use.

De vez en cuando, las aplicaciones maliciosas logran eludir la verificación de la tienda de aplicaciones. Si se detecta, las cuentas de desarrollador asociadas con las aplicaciones generalmente están bloqueadas, y las aplicaciones se eliminan de las tiendas y (generalmente) de los dispositivos en los que se instalaron. Pero los desarrolladores de estas aplicaciones a menudo simplemente pasan a una cuenta de desarrollador diferente o usan otras opciones para que sus aplicaciones estén disponibles para los usuarios.

Seguí una campaña de anuncios emergentes que dirigían a los usuarios de teléfonos inteligentes a aplicaciones de «seguridad» en ambas tiendas de aplicaciones, utilizando páginas de advertencia falsas similares a las de los sistemas operativos móviles que advierten sobre infecciones de virus en los dispositivos. Cuando los anuncios reconocieron un dispositivo iOS, finalmente abrieron la página de una aplicación VPN de un desarrollador en Bielorrusia que estaba cobrando $ 10 a la semana por el servicio. La lista de la App Store estaba llena de reseñas de 4 estrellas (probablemente falsas), junto con algunas de clientes reales que descubrieron que habían sido estafados.

La aplicación en sí funcionó, por así decirlo: enrutaba el tráfico de Internet de todos los usuarios a través de un servidor en Bielorrusia, lo que permitía ataques de intermediarios y la recopilación de enormes cantidades de datos de los usuarios.

Claro, un usuario de dispositivo experimentado sabría que estas aplicaciones son fraudulentas y las detectaría de inmediato, ¿verdad? Posiblemente, pero ¿cuántos usuarios de iOS y Android tienen este nivel de sofisticación?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba