Una nueva estafa de phishing ha estado aterrizando en las bandejas de entrada de los usuarios, mostrando viejas contraseñas como prueba de un hackeo. Esto es lo que sucedió (y cómo protegerse).
Acabo de recibir un mensaje de correo electrónico de alguien que afirma ser un pirata informático que entró en mi computadora y usó mi cámara web para verme mirar sitios web para adultos. Esa parte del mensaje me avisó que se trataba de una estafa, pero la línea de asunto contenía una contraseña anterior que he usado anteriormente. ¿Cómo obtuvo esta persona esa información?
Este tipo de esquemas de extorsión en línea -que intentan culpar a las personas para que paguen a los hackers que afirman tener información comprometedora- no son nada nuevo. Pero una nueva ola de mensajes que comenzó a aparecer a mediados de julio ha intensificado la estratagema al mostrar las contraseñas en los encabezados de los temas como una “prueba” llamativa de atención que alguien ha enterrado profundamente en su computadora y tiene su información personal.
En cuanto a la inclusión de una contraseña real, después de años de incumplimientos de bases de datos de sitios y servicios importantes como Yahoo, eBay, PlayStation de Sony y docenas de otras compañías, cantidades variables de datos de personas están flotando en Internet, a menudo para la venta en el mercado negro . Esa información ahora se está fusionando con estafas de phishing tradicionales.
De acuerdo con el blog de Krebs on Security, varios destinatarios de esta campaña de chantaje en particular observaron que la contraseña incluida en el mensaje era antigua, algunos en alrededor de una década y que no se usa actualmente. Para aquellos que no han cambiado sus contraseñas en años, la artimaña podría parecer más realista, y el ajetreo puede afinarse a medida que los perpetradores tejen fragmentos más frescos de datos de usuario robados.
La actualización de sus contraseñas con frecuencia es una buena práctica de seguridad.
También lo es agregar autenticación de dos factores para verificar su identidad más allá de la contraseña, mediante el uso de códigos únicos generados por texto, aplicaciones de autenticación o llaves USB especiales conectadas a la computadora. Si tiene muchas contraseñas para disputar, manténgalas en un programa seguro de administrador de contraseñas; Wirecutter, un sitio de revisión de productos propiedad de The New York Times, recomienda LastPass.
Puede denunciar incidentes de phishing en el sitio del Centro de Quejas contra Delitos de Internet de F.B.I.