El sector de los marketplaces digitales y la banca se enfrenta a una nueva generación de ataques de ingeniería social que combinan el conocimiento específico de cada plataforma con tácticas clásicas de urgencia para crear escenarios de fraude altamente convincentes. Dos casos recientes—uno relacionado con el marketplace francés Leboncoin y otro dirigido a clientes de Easybank—ilustran cómo los atacantes están refinando sus métodos para eludir las medidas de seguridad y explotar la confianza de los usuarios.
En el caso de Leboncoin, un vendedor perdió 1.550 € después de ser engañado por una falsa confirmación de pago. El atacante, haciéndose pasar por un comprador, inició una transacción y envió un correo electrónico fraudulento que parecía provenir del sistema de pago de Leboncoin, afirmando que los fondos estaban pendientes hasta que el vendedor proporcionara un número de seguimiento. El correo utilizaba dominios falsos y direcciones de remitente suplantadas para imitar las comunicaciones legítimas. El vendedor, confiando en la reputación de la plataforma, envió el artículo y proporcionó el número de seguimiento, solo para darse cuenta más tarde de que no se había realizado ningún pago. La estafa aprovechó el propio flujo de pago de la plataforma, creando una ilusión perfecta de legitimidad que dificultó que la víctima detectara el fraude.
De manera similar, los clientes de Easybank han sido el objetivo de una campaña de phishing que utiliza alertas urgentes de cuenta para engañar a los usuarios y hacer que revelen información sensible. Los atacantes envían mensajes SMS o correos electrónicos afirmando que la cuenta del usuario ha sido comprometida o que se ha detectado una transacción sospechosa. El mensaje incluye un enlace a una página de inicio de sesión falsa que imita fielmente el sitio oficial del banco. Una vez que el usuario introduce sus credenciales, los atacantes obtienen acceso a la cuenta y pueden iniciar transacciones no autorizadas. La campaña utiliza técnicas de ingeniería social, como crear una sensación de urgencia y miedo, lo que hace más probable que los usuarios actúen sin pensar.
Ambos ataques destacan una tendencia común: la instrumentalización de la confianza. Los atacantes ya no se basan únicamente en correos de phishing genéricos o sitios web falsos. En su lugar, estudian los flujos de trabajo y los patrones de comunicación específicos de las plataformas populares para crear estafas altamente dirigidas y convincentes. Este enfoque reduce las defensas de la víctima, ya que las comunicaciones fraudulentas parecen provenir de una fuente confiable y siguen el mismo formato que los mensajes legítimos.
Desde una perspectiva técnica, estos ataques comparten varios indicadores. Se utilizan dominios falsos para crear URL visualmente similares a las oficiales, como reemplazar la 'o' por '0' o añadir guiones. La suplantación de SMS permite a los atacantes enviar mensajes que parecen provenir del número oficial de la plataforma. También se utilizan números de atención al cliente falsos para interceptar llamadas de víctimas que intentan verificar la legitimidad de la comunicación. Estas técnicas requieren un cierto nivel de sofisticación técnica, pero son cada vez más accesibles a través de foros clandestinos y kits de phishing.
Para los profesionales de la ciberseguridad, estos casos subrayan la importancia de la educación del usuario y la seguridad en múltiples capas. Las organizaciones deberían implementar medidas como DMARC, DKIM y SPF para prevenir la suplantación de correo electrónico, y utilizar métodos de autenticación sólidos como la autenticación multifactor (MFA) para proteger las cuentas. Además, las plataformas deberían auditar regularmente sus canales de comunicación y proporcionar pautas claras a los usuarios sobre cómo verificar la autenticidad de los mensajes.
Los consumidores pueden protegerse verificando cualquier comunicación inesperada a través de canales oficiales, evitando hacer clic en enlaces de mensajes no solicitados y utilizando contraseñas únicas y seguras para cada plataforma. Informar de cualquier actividad sospechosa al equipo de seguridad de la plataforma también puede ayudar a prevenir futuros ataques.
La evolución de los ataques de ingeniería social en los sectores de marketplaces y banca es una llamada de atención tanto para los usuarios como para las organizaciones. A medida que los atacantes siguen refinando sus métodos, mantenerse informado y adoptar una postura de seguridad proactiva es esencial para mitigar el riesgo de fraude.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.