A medida que llega el otoño y comienza la temporada de limpieza al aire libre, los propietarios de viviendas de todo el país son bombardeados por correos electrónicos. Muchos parecen lo suficientemente inofensivos, solo una notificación que dice que ha ganado algo para su jardín. Un ejemplo reciente afirmaba que había ganado un gran carrito de basura de jardín, un artículo utilitario que muchas personas compran en las ferreterías en esta época del año. Parecía ser de Home Depot , marcado con su logotipo, y el tema era festivo: “¡Tu regalo está a solo un clic de distancia!” Sin embargo, lo que parecía un premio gratis era en realidad un esquema de phishing cuidadosamente elaborado.
Detrás del atractivo de temporada, había urgencia, ya que el correo electrónico advertía que la oferta caducaría en minutos y que tenía que “Comenzar aquí” para reclamar su premio. Una vez que hiciste clic, la historia se hizo más profunda. Fue redirigido a páginas web que le pedían que completara datos personales, realizara una encuesta en línea, luego ingresara su dirección particular y finalmente se le solicitara información de pago bajo el pretexto de una “pequeña tarifa de procesamiento”. Para entonces, es probable que sus datos hayan sido entregados a los atacantes.
Cómo se construyó la estafa para parecer legítima
Lo que hace que esta estafa sea especialmente peligrosa es lo realista que parecía. El correo electrónico fue elaborado bajo un tema de Halloween, aprovechando la mentalidad estacional de limpieza y decoración del jardín. La promesa de un carrito de descarga gratuito era plausible y oportuna. Cuando la gente está pensando en transportar hojas o remodelar su jardín, el cebo tiene sentido.
Los investigadores encontraron varios obsequios que revelaron la naturaleza falsa. Por ejemplo, la dirección de correo electrónico del remitente terminaba en un dominio que aparentemente pertenecía a una escuela secundaria en Los Ángeles, y no Home Depot . El contenido del mensaje incluía caracteres de control ocultos y una imagen de seguimiento de un solo píxel para confirmar que se había abierto el correo electrónico. El objetivo era claro, hacer que pareciera lo suficientemente real como para eludir los filtros de spam y atraer a los destinatarios para que se involucren.
Una vez que el destinatario del correo electrónico hizo clic en la imagen o en el enlace “Comience aquí”, se le llevó por un embudo de varios pasos. Primero, una encuesta o cuestionario hizo preguntas básicas sobre la edad o el género. Luego, una página pidió la dirección de entrega. Finalmente llegó la solicitud de pago disfrazada de tarifa de procesamiento. En ese momento, las víctimas podrían haber sentido que se habían comprometido demasiado para dar marcha atrás. El verdadero resultado de esto es que su información personal y financiera es robada y/o vendida.
En la superficie, parece que un sorteo de carrito de jardín salió mal. Pero las implicaciones son más profundas. Cuando los estafadores recopilan información personal como su nombre, dirección, tarjeta de pago y correo electrónico, obtienen herramientas que pueden reutilizar. Esos datos pueden venderse o reutilizarse para enviar ataques de phishing adicionales, cometer robo de identidad o acceder a otras cuentas de su propiedad.
Debido a que la estafa se configura como un embudo de varias etapas, no siempre es obvio de inmediato quién está detrás de ella o cómo se explotarán los datos más adelante. Las víctimas pueden pensar que simplemente han perdido unos minutos, pero la pérdida real puede llegar meses después cuando una cuenta se vea comprometida o aparezcan compras fraudulentas.
Para las empresas, estas estafas tienen un impacto de marca. Si ve una oferta que parece provenir de , o de Home Depot cualquier otro minorista importante, y resulta ser falsa, la confianza del cliente se erosiona. Los minoristas deben trabajar con empresas de seguridad y los consumidores deben permanecer alerta para proteger tanto sus datos como su confianza en las marcas.
Señales de advertencia que podrías haber pasado por alto
Había varias banderas rojas, algunas sutiles, otras más visibles. El dominio de correo electrónico del remitente era grande, ya que no coincidía con la empresa que supuestamente representaba. Se podía hacer clic en las imágenes y los enlaces en su totalidad, configurados para redirigir a través de sitios web comprometidos antes de llegar a la página final. Se utilizaron caracteres de control ocultos en el mensaje para evitar la detección por parte de los filtros de spam. Todo esto señaló una campaña de phishing bien organizada.
Otra pieza complicada fue la urgencia y la exclusividad: “Sin trucos, solo clics” y “Tu regalo está a solo un clic de distancia”. Estas frases presionaron al usuario para que actuara de inmediato. Cuando los mensajes dicen que la oferta es válida solo por unos minutos, generalmente intentan cortar la reflexión razonable y hacer que actúe antes de verificar. Para cuando alguien se da cuenta del error, los datos a menudo desaparecen.
Qué hacer si te encuentras con una oferta como esta
Si recibes un correo electrónico que ofrece un “premio gratis” de una marca de confianza, haz una pausa primero. No haga clic de inmediato. En su lugar, verifique la oferta con la empresa directamente, visite su sitio oficial o comuníquese con el soporte. Verifique la dirección de correo electrónico del remitente: si no termina en el dominio oficial de la empresa (por ejemplo, no termina en “@homedepot.com”), es probable que sea una estafa.
Si hizo clic en el enlace, no lo ignore. Revise sus cuentas en busca de actividades sospechosas. Si has introducido algún dato bancario o de pago, ponte en contacto con tu banco inmediatamente. Considere cambiar sus contraseñas, habilitar la autenticación de dos factores y escanear su dispositivo con software de seguridad. Estos pasos pueden ayudar a limitar los daños y evitar el uso indebido de datos.
También es aconsejable tratar las ofertas de temporada con escepticismo adicional. Las promociones vinculadas a días festivos o períodos de compras importantes a menudo atraen campañas de phishing. Cuando una oferta parece demasiado buena para ser verdad, como un premio gratis, solo se necesita un clic, generalmente lo es.
Si recibe un correo electrónico que afirma que ha ganado un gran premio, especialmente de un minorista con el que compra, no asuma que es legítimo. Respire hondo, verifique los detalles del remitente y pregunte si la marca realmente está organizando un concurso de este tipo. Evite hacer clic en enlaces en correos electrónicos inesperados. Considere si fue al sitio web de la marca o se inscribió en un sorteo de este tipo.
La estafa del sorteo de carritos de jardín es un recordatorio de que los ataques de phishing están evolucionando. Toman prestada la apariencia de las marcas reales, aprovechan los temas de temporada y crean urgencia en su lenguaje. Lo que parece una golosina puede convertirse fácilmente en problemas.
Sea cauteloso, mantenga su software actualizado, habilite protecciones adicionales como la autenticación de dos factores y trate con escepticismo cualquier oferta gratuita que solicite datos personales o pago. Al final, tu mejor premio es la conciencia y evitar ser engañado por lo que parece un atajo a algo por nada.