Estafa de phishing del Seguro Social

Expertos en ciberseguridad han descubierto una campaña de phishing dirigida a los números de seguridad social (SSN) de los usuarios. La etapa inicial de la campaña de estafa consiste en la difusión de correos electrónicos de señuelo presentados como si fueran enviados por la Administración del Seguro Social de EE. UU. Sin embargo, el remitente real es solo una dirección de Gmail aleatoria. Los detalles sobre las operaciones de phishing fueron revelados en un informe de los investigadores de la empresa de seguridad de correo electrónico INKY.

Según sus hallazgos, los correos electrónicos atractivos de la campaña de phishing intentan crear una sensación de urgencia desde su línea de asunto. A menudo contienen la dirección de correo electrónico del usuario, la identificación del caso o un número de expediente en un intento de aparecer como una comunicación oficial sobre un problema grave. Las líneas de asunto de los correos electrónicos pueden implicar que el SSN del usuario se ha relacionado con una actividad sospechosa o que pronto será descartado, descontinuado, suspendido, etc.

Los correos electrónicos también llevan un archivo PDF adjunto. El archivo no es malicioso pero agrega otra supuesta capa de legitimidad. Cuando se abra, el documento mostrará de forma destacada el logotipo de la Administración del Seguro Social y un número de caso específico. El texto y el escenario presentados en el archivo PDF pueden variar, pero siempre animará a los destinatarios desprevenidos a ponerse en contacto con un número de teléfono proporcionado, descrito como perteneciente a la agencia.

En su lugar, los usuarios se pondrán en contacto con los estafadores o con un operador que trabaje para ellos. La adición de este método conocido como vishing (phishing de voz) podría aumentar drásticamente la cantidad de personas que caen en la estafa. Una vez que están en línea, se les puede pedir a los usuarios que proporcionen detalles personales confidenciales a través de varias tácticas de ingeniería social. Se podría pedir a las víctimas que verifiquen su número de seguro social, así como que indiquen su fecha de nacimiento y nombre a los operadores telefónicos. Se podría pedir a los usuarios que proporcionen su información bancaria o que paguen una tarifa falsa en forma de tarjetas de regalo o una criptomoneda específica.