El 60% del phishing en redes sociales utiliza perfiles falsos de Facebook

En el primer trimestre de 2018, las tecnologías antiphishing de Kaspersky Lab impidieron más de 3,6 millones de intentos de visitas a páginas de redes sociales fraudulentas, de las cuales el 60% eran páginas falsas de Facebook.

Los resultados, según el informe de Kaspersky Lab: “Spam y Phishing en el Q1 de 2018”, demuestran que los ciberdelincuentes siguen buscando mil formas para hacerse con datos personales.

En el  phishing en redes sociales, el ciberatacante crea una copia de la web de la red social, como puede ser una página de Facebook falsa, e intenta atraer a víctimas desprevenidas, forzándolas a entregar en el proceso sus datos personales, como nombre, contraseña, número de tarjeta de crédito, código PIN y otros.

A principios, de este año 2018, Facebook era la red social más popular para los estafadores. Estamos ante una tendencia a largo plazo. Ya en el primer trimestre de 2017, Facebook se convirtió en uno de los tres objetivos principales del phishing, con casi un 8%, seguido por Microsoft Corporation (6%) y PayPal (5%).

En el primer trimestre de este año, Facebook sigue encabezando la categoría de phishing en redes sociales, seguido de VK, un servicio ruso de redes sociales online, y LinkedIn. Este liderazgo se debe probablemente a los más de 2.100 milllones de usuarios mensuales activos de Facebook, incluidos aquellos que inician sesión en aplicaciones desconocidas utilizando sus credenciales de Facebook, pudiendo acceder a sus cuentas. No sorprende pues que los usuarios incautos de Facebook sean un objetivo rentable para los ataques de phishing.

Todo esto refuerza la importancia que los datos personales tienen en el mundo de las tecnologías de la información para todo tipo de organizaciones, tanto legítimas como ciberdelincuentes.

Los cibercriminales están buscando constantemente nuevas formas de atacar a los usuarios, por lo que es importante estar alerta para evitar ser la próxima víctima.

Por ejemplo, la última tendencia son los correos electrónicos de spam relacionados con el RGPD (Reglamento general de protección de datos). Entre los ejemplos se incluyen correos sobre webinars pagados para aclarar la nueva legislación o invitaciones para instalar un software especial que proporcionará acceso a recursos online para garantizar el cumplimiento de la nueva normativa.

“El continuo aumento en el número de ataques de phishing dirigidos tanto a las redes sociales como a las organizaciones financieras, nos dice que los usuarios deben prestar más atención a sus actividades online. A pesar de los recientes escándalos globales, las personas continúan haciendo clic en enlaces inseguros y permitiendo que aplicaciones desconocidas accedan a sus datos personales. Ante esta falta de vigilancia por parte del usuario, los datos de un enorme número de cuentas se pierden o pueden robarse. Esto puede llevar a ataques destructivos y a un flujo constante de recursos para los ciberdelincuentes”, afirma Nadezhda Demidova, analista principal de contenido web de Kaspersky Lab.

Los expertos de Kaspersky Lab animan a los usuarios a tomar las siguientes medidas para protegerse frente al phishing:

•    Verificar siempre la dirección del enlace y el correo electrónico del remitente antes de hacer clic en cualquier lugar. Mejor aún, no hacer clic en el enlace, sino que escriba la dirección en su buscador.

•    Antes de hacer clic en cualquier enlace, verificar si la dirección del enlace que se muestra es la misma que el hipervínculo real (la dirección real a la que nos llevará el enlace). Esto podemos verificarlo colocando el ratón sobre el enlace.

•    Usar solo una conexión segura, especialmente cuando visitamos sitios web confidenciales. Como precaución mínima, no usar Wi-Fi desconocido o público sin una contraseña de protección. Para obtener la máxima protección, usar VPN que cifra su tráfico. Y recordemos: si usamos una conexión insegura, los ciberdelincuentes pueden redirigirnos invisiblemente a páginas de phishing.

•    Verificar la conexión HTTPS y el nombre del dominio cuando abramos una página web. Esto es esencialmente importante cuando utilizamos sitios web que contienen datos confidenciales, como sitios para banca electrónica, tiendas online, correo electrónico, redes sociales, etc.

•    Nunca compartir con terceros datos confidenciales, como inicios de sesión, contraseñas, datos de tarjetas bancarias, etc, Las auténticas compañías nunca pedirán datos como estos por correo electrónico.•    Utilizar una solución de seguridad fiable que cuente con tecnología anti-phishing basadas en el comportamiento, como Kaspersky Total Security, para detectar y bloquear el spam y los ataques de phishing.