Required Order Email Scam

Después de examinar los correos electrónicos de 'Orden requerida', los investigadores de seguridad de la información han determinado de manera concluyente que estos mensajes constituyen una táctica de phishing. Los correos electrónicos están diseñados para que parezcan pedidos legítimos de un cliente anterior. Se incita a los destinatarios a proporcionar las credenciales de inicio de sesión de su cuenta de correo electrónico visitando un sitio web de phishing disfrazado de documento seguro que describe los supuestos detalles del pedido.

La estafa por correo electrónico de pedido requerido puede tener graves consecuencias para las víctimas

Los correos electrónicos no deseados, que normalmente tienen el asunto "Orden de compra y consulta el [fecha y hora específicas]" (aunque los detalles exactos pueden variar), preguntan si el destinatario realiza envíos a Frankfurt, Alemania. El remitente afirma falsamente haber realizado un pedido al destinatario en 2019 y expresa interés en realizar otra compra. El correo electrónico indica a los destinatarios que inicien sesión a través de una 'página en línea de Excel' para ver el nuevo pedido y proporcionar una factura proforma (PI) actualizada.

Sin embargo, toda la información contenida en estos correos electrónicos fraudulentos es completamente inventada y no están afiliadas a entidades legítimas.

Tras investigar el sitio de phishing promovido por estos correos electrónicos no deseados, los investigadores descubrieron que aparece como una hoja de cálculo de Microsoft Excel borrosa con la etiqueta "Excel cloud connect". Un mensaje emergente que se muestra en la página insiste en que los usuarios deben iniciar sesión con sus credenciales de correo electrónico para acceder al archivo.

Cuando los usuarios ingresan sus credenciales de inicio de sesión en sitios web de phishing como este, la información se registra y se envía a los estafadores. Los posibles riesgos de ser víctima de este tipo de tácticas de phishing van mucho más allá de perder una cuenta de correo electrónico. Las cuentas de correo electrónico secuestradas se pueden utilizar para acceder a cuentas y plataformas vinculadas, exponiendo a los usuarios a una infinidad de peligros.

Por ejemplo, los ciberdelincuentes pueden utilizar las identidades recopiladas para perpetrar diversas actividades fraudulentas, como solicitar préstamos o donaciones a contactos, promover tácticas o distribuir malware. Además, comprometer el contenido confidencial o sensible almacenado en las plataformas puede dar lugar a chantaje u otras actividades ilícitas. Además, las cuentas financieras robadas, incluidas la banca en línea, los servicios de transferencia de dinero, las plataformas de comercio electrónico y las billeteras digitales, pueden explotarse para realizar transacciones fraudulentas y compras en línea no autorizadas.

¿Cómo se reconocen los correos electrónicos de phishing que se difunden como señuelos para tácticas en línea?

Reconocer los correos electrónicos de phishing, que a menudo se utilizan como señuelo para tácticas en línea, es crucial para protegerse de ser víctima de un fraude cibernético. A continuación se muestran algunas estrategias clave que los usuarios pueden emplear para identificar correos electrónicos de phishing:

• Verifique la dirección de correo electrónico del remitente : verifique la dirección de correo electrónico del remitente para verificar si coincide con el dominio de la organización legítima. Los phishers suelen utilizar direcciones de correo electrónico engañosas que pueden parecer similares a las genuinas pero que contienen ligeras variaciones o errores ortográficos.

• Examine el saludo y el tono : las organizaciones legítimas suelen dirigirse a los destinatarios por su nombre o nombre de usuario en correos electrónicos personalizados. Tenga cuidado con los saludos genéricos como "Estimado cliente" o el lenguaje demasiado urgente o amenazante, ya que son tácticas comunes utilizadas en los correos electrónicos de phishing para evocar miedo o urgencia.

• Búsqueda de errores ortográficos y gramaticales : los correos electrónicos de phishing suelen contener errores ortográficos, gramaticales o frases incómodas. Las organizaciones legítimas suelen tener estándares de comunicación profesionales y revisar minuciosamente sus correos electrónicos.

• Evalúe el contenido y las solicitudes : tenga cuidado con las solicitudes fuera de lo común de información confidencial, como contraseñas, números de cuenta o detalles personales, especialmente si el correo electrónico afirma que es urgente proporcionarlos. Las organizaciones dedicadas generalmente no solicitan información confidencial por correo electrónico y proporcionarían métodos seguros alternativos para dicha comunicación.

• Verificar enlaces y archivos adjuntos : coloque el cursor sobre los enlaces del correo electrónico para obtener una vista previa de la URL sin hacer clic en ellos. Compruebe si hay inconsistencias entre el enlace mostrado y el destino real. Evite acceder a archivos adjuntos de remitentes desconocidos, ya que pueden contener malware o scripts fraudulentos.

• Evalúe el diseño y la marca : los correos electrónicos de phishing a menudo imitan el diseño y la marca de organizaciones legítimas para parecer convincentes. Sin embargo, un examen cuidadoso puede revelar discrepancias en logotipos, fuentes o formato que indiquen que el correo electrónico es fraudulento.

• Tenga cuidado con los archivos adjuntos o descargas no solicitados : tenga cuidado al recibir archivos adjuntos o descargas inesperados, especialmente si lo invitan a habilitar macros o ejecutar scripts. Estas podrían ser tácticas empleadas para enviar malware a su dispositivo.

• Verifique solicitudes inusuales a través de canales alternativos : si un correo electrónico solicita acciones o información inusuales, como transferencias bancarias o actualizaciones urgentes de cuentas, verifique la demanda de forma independiente a través de una fuente confiable o comunicándose directamente con la organización utilizando información de contacto verificada.

• Confía en tus instintos : no te arriesgues si algo en el correo electrónico parece incorrecto o demasiado bueno para ser verdad. Confíe en sus instintos y absténgase de realizar acciones que puedan comprometer su seguridad o privacidad.

Al permanecer alerta y emplear estas técnicas, los usuarios pueden reconocer mejor los correos electrónicos de phishing y protegerse contra tácticas y fraudes en línea.