Cientos de miles de tarjetas de regalo robadas en el mercado, y tenga cuidado con estas estafas de WeTransfer y LinkedIn.
Bienvenido a Cyber Security Today. Es miércoles 7 de abril. Soy Howard Solomon, reportero colaborador sobre ciberseguridad para ITWorldCanada.com.
Se advierte a los minoristas en línea Tenga cuidado con las tarjetas de regalo que se utilizan para pagar compras en línea. Las tarjetas pueden ser robadas. Esto se produce después de que la firma de ciberseguridad Gemini Advisory informara esta semana que en febrero un actor de amenazas subastó 895.000 números de tarjetas de regalo robadas. Supuestamente tenían un saldo total de $ 38 millones. Aparentemente, fueron robados de un mercado en línea ahora desaparecido que compraba y vendía tarjetas de regalo no deseadas de grandes firmas como AirBnB, Amazon, Target, Walmart, Marriott, Nike y otras. La misma persona vendía 330.000 tarjetas de crédito y débito, aparentemente también del mismo sitio web desaparecido. Los investigadores de Gemini creen que la información de la tarjeta de pago y regalo fue robada durante un hackeo del mercado en 2019.
¿Qué pueden hacer los delincuentes con esas tarjetas de regalo robadas? Intente comprar bienes valiosos y revenderlos, o vender las tarjetas por dinero en efectivo en otro mercado de tarjetas de regalo. En cuanto a las tarjetas de crédito, tenían un precio relativamente bajo, probablemente porque fueron robadas hace dos años. A estas alturas, los bancos habrían sido advertidos y cancelados las tarjetas.
Suscriptores al servicio de transferencia de archivos de gran tamaño llamado We Transfer debe tener cuidado al manejar los mensajes inesperados. Una empresa de seguridad llamada Avanan informó esta semana que los delincuentes están enviando mensajes de correo electrónico a posibles víctimas que fingen ser de We Transfer y afirman que los archivos están listos para ser enviados a ellos. Todo lo que tienen que hacer es hacer clic en un enlace y luego ingresar su nombre de usuario y contraseña de We Transfer. El objetivo de los delincuentes es copiar esas credenciales. Un consejo de que esto es una estafa es que está dirigido a “Estimado señor / señora”. Otra es que si hace clic en el enlace para descargar los archivos, la dirección de Internet al sitio al que va no es We Transfer.
Otra estafa de phishing dando vueltas aprovecha la información que pones en LinkedIn. Este es muy específico. Según la empresa canadiense de servicios de seguridad administrada eSentire, funciona así: las víctimas reciben un mensaje de correo electrónico que parece una oferta de trabajo hecha a medida. Eso se debe a que los delincuentes han tomado la redacción del puesto de trabajo actual que ocupa la víctima como figura en LinkedIn. Entonces, si el trabajo de la víctima es “flete internacional de alto ejecutivo de cuentas”, la oferta de trabajo es para ese puesto. Para ser aún más convincente, el nombre del archivo del formulario de solicitud adjunto es el mismo que el del puesto de trabajo. Sin embargo, cualquier persona que haga clic en el archivo se infecta con malware que hace que su computadora se vea comprometida. El atacante puede entonces robar cualquier dato, incluidas las contraseñas. Tenga en cuenta que esta estafa está muy dirigida a personas.
Grupos criminales sofisticados están adoptando una nueva estrategia para piratear bancos y minoristas: están contratando personas. Verá, los delincuentes cibernéticos utilizan muchos ataques automatizados. Pero estos son cada vez más detectados por software de seguridad y tácticas defensivas. Uno con el que está familiarizado es lo que se llama Captcha. Es una técnica para verificar a una persona y no a una máquina que intenta iniciar sesión pidiéndoles que hagan clic en cualquiera de un grupo de imágenes que tenga un automóvil, o que ingresen un grupo codificado de dígitos y números que se muestran en la pantalla. Según un nuevo informe de la división NuData de Mastercard, detectó indicios el año pasado de que los cocineros están contratando cada vez más a más personas para completar estos formularios para engañar a los defensores. Se aconseja a las empresas que busquen soluciones que puedan detectar este tipo de engaños.
Es todo por hoy. Los enlaces a los detalles sobre estas historias se encuentran en la versión de texto de este podcast en ITWorldCanada.com. Ahí es donde también encontrarás mis historias de noticias dirigidas a profesionales de la ciberseguridad.
Siga Cyber Security Today en Apple Podcasts, Google Podcasts o agréguenos a su Flash Briefing en su altavoz inteligente.