¿Por qué caemos en el fraude en línea?

Los ciberdelincuentes son muy profesionales y complicados. Se basan en correos electrónicos de phishing dirigidos, salpicados de trucos psicológicos que funcionan bien para nosotros los usuarios. Esta publicación de blog trata exactamente sobre estos desencadenantes.

El fraude y el robo son tan antiguos como la humanidad misma. En el pasado, los estafadores estaban en la calle y, por ejemplo, sacaban monedas y billetes de los bolsillos de sus víctimas durante el juego del sombrero o «recolectaban» dinero para huérfanos que en realidad no existen. Hoy en día, los perpetradores también son cada vez más activos en Internet y tratan de atraernos a los usuarios a la trampa con correos de spam y phishing. Cada día tenemos que lidiar con una gran cantidad de mensajes electrónicos en nuestros buzones. Las previsiones del Grupo Radicati indican que este año se enviarán un total de 333.200 millones de correos electrónicos en todo el mundo. Según las estimaciones, los correos no deseados representan entre el 40 y el 50 por ciento.

Evita ser víctima de un fraude por internet | IoFacturo // facturación  electrónica simplificada

Éxito con la psicología

Los estafadores envían llamadas de ayuda para los refugiados de la guerra civil por correo electrónico o intentan persuadir a los empleados de las empresas para que transfieran rápidamente una cantidad a un nuevo contacto comercial. A menudo, los perpetradores también envían correos electrónicos con archivos adjuntos que están infectados con malware o contienen enlaces a sitios web de código malicioso, combinados con una solicitud para abrir el archivo o hacer clic en el enlace. Estos y otros enfoques son muy exitosos. Pero, ¿por qué funciona tan bien? ¿Por qué los atacantes tienen tanto éxito con esto?

La respuesta es: los perpetradores usan disparadores especiales para llegar a su destino. En psicología, los desencadenantes son desencadenantes de una sensación, afecto o acción. Por ejemplo, un cierto olor puede llevarnos de vuelta a nuestra infancia por un corto tiempo porque nos recuerda las insuperables habilidades culinarias de nuestra abuela.

Los estafadores en línea confían en los desencadenantes de la codicia, la curiosidad, el miedo, la presión, el sentido del deber, la ayuda y el hábito. A menudo, estos desencadenantes también se combinan entre sí para mejorar el efecto.

Codicia

El historiador inglés Thomas Fuller (1608-1661) lo expresó de esta manera: «Dinero: El mejor cebo para pescar para la gente». Muchos correos electrónicos de estafadores en línea confían en él. Los humanos queremos tener dinero y muchos también queremos hacernos ricos. Qué conveniente es cuando un correo electrónico aterriza en el buzón que se ocupa de una herencia alta en millones. No hay heredero para esto y, por lo tanto, ahora se está buscando uno. El remitente a menudo se hace pasar por un abogado, empleado del gobierno o empleado bancario. Parece serio a primera vista, pero ¿por qué alguien enviaría correos electrónicos a personas desconocidas para distribuir una herencia?

Si cedemos a nuestra codicia en este ejemplo, desafortunadamente no recibimos millones de euros, sino que nos vemos arrastrados a transacciones ilegales de lavado de dinero porque proporcionamos los detalles de nuestra cuenta. La cuenta bancaria se utiliza para la transferencia de fondos «generados» criminalmente. Otra alternativa: Supuestamente hay cuotas por el pago de la herencia y si estas se pagan, la cantidad se va, pero a cambio no se paga ninguna herencia.

Presión

La codicia se usa a menudo en combinación con la presión para mejorar el efecto. La escasez artificial es un remedio eficaz. Echemos un vistazo al ejemplo de la supuesta herencia ofrecida: aquí los estafadores podrían acumular una presión adicional al afirmar que se debe dar una respuesta en muy poco tiempo para preservar los activos. Por cierto, la presión también se genera a menudo durante la compra en línea o en televenta, cuando las ofertas solo son válidas durante unas pocas horas o solo está disponible un número muy limitado del artículo.

En algunos correos, los delincuentes confían en la gente en pánico. En las campañas de correo del pasado, los estafadores se hacían pasar por investigadores de Europol, la BKA o la LKA. Sería una citación urgente debido a un delito en Internet o en el área de pornografía infantil. Si la persona contactada no reacciona, los miembros de la familia serían informados, por lo que la amenaza.

Miedo

A los estafadores en línea les gusta jugar con los temores de las personas. En combinación con el miedo, crean presión temporal, social o emocional. Por ejemplo, si los atacantes amenazan con publicar información personal en un correo electrónico si no se paga una cierta cantidad de dinero de inmediato, las víctimas temen que esto sea exactamente lo que sucederá. Pero el miedo también puede surgir si no quieres perder una oportunidad, por ejemplo, la oferta de tiempo limitado y súper barata para un artículo que se ha deseado durante mucho tiempo.

El miedo también está involucrado en correos electrónicos que hablan de una cuenta bancaria pirateada o una cuenta de usuario de una compañía de pedidos por correo en línea o un proveedor de servicios de pago. La contraseña debe cambiarse inmediatamente. Debido a que nadie quiere sufrir daños financieros, las víctimas hacen clic en el enlace dado para resolver el problema. Como resultado, divulgan involuntariamente sus datos de acceso y tal vez otra información personal.

Curiosidad

La gente es curiosa. ¿Qué hay para comer hoy o cuáles son las gangas actuales en las compañías de pedidos por correo en línea? Nos gusta ser atraídos rápida y fácilmente para satisfacer nuestra curiosidad. Esta circunstancia hace que este desencadenante sea particularmente peligroso. Muchos usuarios no saben que ya podrían estar en la trampa de los estafadores con solo mirarlos. Los atacantes confían en despertar a los sujetos de correo en sus mensajes, por ejemplo, «Nunca has visto nada tan impactante» o «Esta dieta hace que las libras caigan». Estos titulares despiertan curiosidad. Esto es comparable a las llamadas ofertas de clickbait. Los bienes son particularmente espeluznantemente titulados y descritos para que despierten nuestra curiosidad. Los correos contienen archivos adjuntos o enlaces a páginas web.

Por supuesto, queremos ver las ofertas o las imágenes anunciadas cuando abrimos el correo. Desafortunadamente, hacer clic en el archivo adjunto o en los enlaces conduce a una infección inmediata e inadvertida del dispositivo con código malicioso. Por supuesto, no hay imágenes para ver en la realidad, la promesa sirvió como atrayente.

Fraudes que ocurren en internet y cómo evitarlos | Innovación | Portafolio

Sentido del deber

Un viernes a las 4 p.m., el Sr. Müller todavía está sentado en la oficina para completar las últimas tareas antes del fin de semana, sus colegas ya están en la noche. Llega un correo electrónico con la petición del director gerente de transferir urgentemente 25.000 euros a un contacto comercial para que se pueda concluir un acuerdo. El Sr. Müller completa rápidamente esta transferencia porque es muy obediente y quiere hacer todo. En realidad, las noticias no vinieron del CEO, sino de estafadores. Este es el llamado fraude del CEO, una estafa en la que los empleados de las empresas deben ser persuadidos para transferir fondos con la ayuda de identidades falsas.

Los delincuentes se aprovechan del sentido del deber de los empleados en las empresas y envían correos electrónicos específicos en diferentes momentos, por ejemplo, poco antes del final del día. Esto aumenta la probabilidad de éxito para los atacantes. Aquí es también donde entra en juego otro factor: la noticia supuestamente vino del director gerente, es decir, una persona que está claramente por encima de la del contador en la jerarquía. Las llamadas de ayuda de supuestos colegas abordan el sentido del deber y también la voluntad de ayudar.

Utilidad

Los humanos somos seres sociales y esto incluye ayudar a los demás. Después del desastre de la inundación en el Ahr el verano pasado, muchos donaron para la reconstrucción. La voluntad de ayudar a los refugiados de guerra de Ucrania es igual de grande. Los delincuentes se aprovechan de esto, presionan la glándula lagrimal de los destinatarios del correo y confían en las apelaciones ficticias para obtener donaciones.

Los delincuentes también usan este disparador de una manera diferente: los atacantes, por ejemplo, obtienen acceso a una cuenta de cliente con una gran empresa de pedidos por correo en línea y luego confían en la utilidad de la atención al cliente. Los empleados son muy serviciales y responden preguntas específicas de los perpetradores en el chat y dan otros datos personales, por ejemplo, un número de tarjeta de crédito. En el primer paso, los atacantes habían verificado la cuenta con un nombre o dirección de correo electrónico. Después de hacerse cargo de la cuenta de usuario, puede realizar pedidos a expensas de su víctima y hacer un mal uso de los datos para otros fines delictivos. Los estafadores han explotado deliberadamente la utilidad de la atención al cliente.

Hábito

Para nosotros, los hábitos son parte de la vida, por ejemplo, el uso de la misma taza de café en la oficina o las compras en ciertas tiendas. También estamos acostumbrados a recibir correos electrónicos con archivos adjuntos y enlaces, no hay nada de malo en eso per se. Sin embargo, los delincuentes a menudo copian el diseño de los correos electrónicos legítimos de remitentes conocidos, como compañías de pedidos por correo en línea o bancos. Las personas están acostumbradas a recibir mensajes en estos formatos y abrir el correo de los delincuentes. También hacen clic en archivos adjuntos que en realidad contienen un programa malicioso o abren enlaces de páginas web que conducen a la trampa de código malicioso o a una página que consulta información personal.

El psicólogo israelí-estadounidense Daniel Kahneman distingue el comportamiento humano en dos sistemas: el primero se basa en decisiones rápidas «desde el intestino» sin pensarlo mucho. En el segundo sistema, las personas primero piensan cuidadosamente, cuestionan y analizan. Sobre esta base, sigue la decisión sobre un sí o un no, o el procedimiento. Los estafadores cibernéticos y los delincuentes en general apuntan al primer sistema entre sus víctimas. Si pensamos más en un correo electrónico recibido, podríamos notar que es peligroso y dudoso.

Los que conocen los trucos saben cómo protegerse

Los ciberdelincuentes actúan muy hábilmente confiando en los desencadenantes para tener éxito. Los usuarios aún podemos protegernos contra ella. Sin embargo, no podemos confiar solo en una solución de seguridad y, en las empresas, en una infraestructura de seguridad. Esta es solo la base: debemos hacer nuestra propia contribución a la ciberseguridad, estar atentos, mirar de cerca y no tomar decisiones apresuradas. Muchos intentos de fraude son rápidamente expuestos por una mirada cercana. Un grado saludable de desconfianza ayuda aquí.

Con el fin de desarrollar y profundizar aún más el conocimiento sobre la seguridad de TI y las amenazas en línea, vale la pena que las empresas utilicen cursos de capacitación especiales, como G DATA Security Awareness Trainings. Los empleados se convierten así en parte de la ciberdefensa y también se benefician del conocimiento en sus vidas privadas.

Enlace: ¿Por qué caemos en el fraude en línea? | G DATOS (gdata.de)  Blog de G DATA Kathrin Beckert-Plewka