Una nueva generación de phishing a la venta en la darknet

Consejos para no caer en sus redes

Vero Rodríguez

Darknet

10 de mayo de 2018, 11:14 | Actualizado a

Darknet

En esa pequeña parte de la deep web inaccesible para los navegadores estándar, la que se conoce como darknet o red oscura, se está vendiendo actualmente una nueva generación de kits de phishing que permite crear webs falsas mucho más convincentes que las utilizadas hasta ahora para recopilar datos personales y bancarios. El hallazgo es fruto de la colaboración entre el experto en ciberseguridad Check Point y la empresa de ciberinteligencia CyberInt, quienes han identificado también al hacker que ha creado este avanzado kit malicioso: [A]pache.

Dirigido a ciberdelincuentes con conocimientos básicos, el nuevo kit les ofrece la posibilidad de gestionar sus propias campañas de phishing para recopilar información personal y económica de cualquier usuario sin su consentimiento. Según Check Point, lo único que tiene que hacer un ciberdelincuente para lanzar una campaña de phishing en tiempo récord es descargar este kit multifuncional, promocionado en foros de la darknet, y seguir sus instrucciones de instalación.

El precio de venta del kit está entre 100 y 300 dólares, bastante superior al de los kits de suplantación de identidad estándar, que cuestan entre 20 y 50 dólares. Algunos incluso son gratuitos, ya que sólo proporcionan páginas de inicio de sesión y solicitudes de información personal y financiera. Sin embargo, gracias a [A]pache, los atacantes disponen ahora de un conjunto completo de herramientas para llevar a cabo su ataque, incluyendo una interfaz con la que pueden crear páginas falsas de venta de productos y gestionar toda su campaña de phishing.

Entre las marcas incluidas en el kit de phishing figuran Walmart, Americanas, Ponto Frio, Casas Bahia, Submarino, Shoptime y Extra (la mayoría, minoristas brasileños, aunque también hay algunos kits dirigidos a marcas estadounidenses). Las webs falsas ofrecen a los clientes productos a un precio más bajo de lo normal. Cuando intentan comprarlos, les roban distintos datos como su email, su teléfono o la información de su tarjeta bancaria.

Consejos para prevenir el phishing

Aunque parezca cosa del pasado o algo que les pasa "a los demás", más del 90 % de los ciberataques e infracciones de datos comienzan con un correo electrónico de suplantación de identidad. En plena campaña de la Renta, por ejemplo, proliferan los emails maliciosos que tratan de engañar al usuario para que comparta sus datos en páginas y formularios fraudulentos.

Para no caer en las redes del phishing, sigue estas recomendaciones básicas:

  • Comprueba siempre que la URL y la dirección de email son correctas (puede faltar alguna letra o tener un dominio diferente).
  • Desconfía de las malas traducciones, las faltas de ortografía y el trato impersonal (sin datos concretos que te identifiquen como su cliente, por ejemplo).
  • Bajo ningún concepto introduzcas tus contraseñas en respuesta a un email.
  • Si te quedan dudas, contacta con el supuesto remitente (Hacienda, tu banco, etc.) para que te confirmen si se trata o no de una comunicación falsa.
Loading...