Las 3 estafas cibernéticas más creativas de la historia

Un problema de ciberseguridad bien conocido es que los ataques se vuelven cada vez más creativos, lo que desafía a los profesionales de la seguridad en línea y hace que con frecuencia vean ataques a una escala sin precedentes. ¿Qué ejemplos han traspasado más los límites?

1. La estafa bancaria de Dyre

A los piratas informáticos les gusta apuntar a los sectores más lucrativos, por lo que no sorprende que los bancos aparezcan con frecuencia en los ataques cibernéticos. Son las empresas amenazadas o los sujetos destinados a incitar a los consumidores a tomar acciones específicas después de recibir correos electrónicos que parecen provenir de sus instituciones bancarias.

Una estafa bancaria específica detectada por primera vez en 2014 utilizaba malware Dyre, que comprometía los navegadores de las víctimas y robaba credenciales para iniciar sesión en plataformas de instituciones financieras y otras interfaces seguras. La estafa comenzó cuando alguien recibió un archivo adjunto en un correo electrónico que supuestamente contenía una factura impaga. Además, los archivos adjuntos contenían malware diseñado para explotar vulnerabilidades no parcheadas en el software Adobe Reader de los destinatarios.

Estos aspectos mostraron un pensamiento creativo por parte de los ciberdelincuentes. En primer lugar, sabían que un nombre adjunto tan vago pero que sonara relevante sobre una factura captaría el interés de la gente. Dado que la vida puede volverse tan agitada, es posible que, en ocasiones, alguien se olvide de pagar las cosas. Los errores de ortografía en el nombre del archivo fueron características distintivas de este ciberataque, pero los delincuentes presumiblemente esperaban que la gente no se diera cuenta o no les importara.

Los estafadores también asumieron con razón que sus objetivos no actualizarían su software Adobe con suficiente frecuencia, creando muchos puntos de entrada potenciales para los piratas informáticos emprendedores. Una vez que alguien cayó en la trampa y descargó el archivo adjunto, el malware se copió a sí mismo y creó el aparentemente inocente "Servicio de actualización de Google" en la computadora de la persona. Luego estableció claves de registro y comenzó a registrar datos de pulsaciones de teclas antes de enviarlos a los piratas informáticos.

A partir de 2016, las autoridades gubernamentales de Estados Unidos dijo todo el software antivirus más importante Los productos de los proveedores habían detectado esta amenaza. Sin embargo, la detección requiere que las personas utilicen y actualicen dichas herramientas con regularidad.

Los empleados del banco llevan a cabo estrictas Procedimientos de conozca a su cliente para prevenir el fraude. y establecer perfiles de riesgo. Sin duda, son necesarios, pero esta estafa muestra con qué facilidad las cosas pueden salir mal cuando los clientes caen en el malware.

2. La estafa del WPP Deepfake

A medida que las tecnologías han avanzado, también lo ha hecho la creatividad de los ciberdelincuentes para explotarlas. La inteligencia artificial (IA) se ha vuelto tan creíble que los consumidores han tenido que aprender que no necesariamente pueden confiar en todo lo que ven u oyen debido a los elaborados deepfakes.

La situación pasó a primer plano para Mark Read, director ejecutivo de WPP, una empresa multinacional británica de publicidad y relaciones públicas. El ejecutivo detalló recientemente una estafa deepfake que explotaba numerosas plataformas y tipos de medios.

Read explicó cómo los piratas informáticos configuraron una nueva cuenta de WhatsApp y utilizaron una imagen suya disponible públicamente como foto de perfil. Lo usaron para programar una reunión sobre Microsoft Teams con otro alto ejecutivo que pensaba que estaban interactuando con Read.

Durante la reunión, los ciberdelincuentes implementaron un clon de voz y material de YouTube de Read, mientras interactuaban simultáneamente en la ventana de chat de Microsoft Teams para hacerse pasar por él y engañar al otro asistente con material que parecía, sonaba y se leía como el líder. El objetivo era convencer al director de una agencia para que creara un nuevo negocio, tras lo cual los estafadores obtendrían de él datos financieros y personales.

Esta estafa falló y se atribuyó la lectura eso resulta en la vigilancia de su empresa , incluido el del ejecutivo objetivo que no respondió como esperaban los piratas informáticos. El CEO señaló que todos deben estar en guardia contra trucos cada vez más elaborados, incluidos aquellos que van más allá de la bandeja de entrada del correo electrónico de alguien.

Algunos expertos en tecnología sugieren que blockchain es ideal para proteger las características vocales de las personas y evitando que partes malintencionadas manipulen con clips autenticados. Sin embargo, como las voces de figuras conocidas están en la televisión, la radio, YouTube e incluso en audiolibros, los ciberdelincuentes motivados tienen muchos datos que utilizar.

3. Anuncios engañosos de IA dirigidos a pequeñas empresas

Ninguna empresa o persona está totalmente a salvo de las estafas cibernéticas, pero los efectos de los ataques orquestados con éxito son más desastrosos para algunas víctimas que para otras. Las pequeñas empresas son excelentes ejemplos porque dichas organizaciones a menudo carecen de los recursos para recuperarse total y rápidamente.

Sin embargo, como mostró un estudio de 2023, El 73% de las pequeñas empresas sufrieron ciberataques , violaciones de datos o ambas durante el año anterior. Un informe de 2024 encontró ciberataques fueron la principal preocupación para el 60% de los encuestados, lo que sugiere que los encuestados comprenden la gravedad de la amenaza.

Desafortunadamente, los estafadores saben que los propietarios de pequeñas empresas son objetivos excelentes y pueden aprovecharse del deseo de las víctimas de mejorar sus flujos de trabajo con nueva tecnología. Tal fue el caso de una estafa contra pequeñas empresas que llamó la atención de los ejecutivos de Google y dio lugar a demandas de las empresas contra los estafadores.

Las tácticas se centraron en Google Bard, el gran modelo de lenguaje ahora conocido como Gemini. La primera demanda de la empresa de tecnología fue contra malos actores que crearon perfiles en las redes sociales y anuncios que animaban a los propietarios de pequeñas empresas a descargar Bard.

Sin embargo, Google no requería que las personas descargaran nada para usarlo; en cambio, integró la herramienta en muchos de sus productos existentes. Aquellos que cayeron en esta estafa esperaban que descargar algo les permitiera usar Bard. En cambio, les proporcionó malware que comprometió sus perfiles de redes sociales.

De abril a noviembre de 2023, Google presentó aproximadamente 300 avisos de eliminación asociados con esta estafa. Solicitó una orden para evitar que los delincuentes establezcan sitios similares y desactiven los que actualmente están archivados en los registradores de dominios.

Esta estafa se destacó por su creatividad porque aprovechó el reconocimiento de la marca Google y el interés de las personas en probar un nuevo producto para hacer más convenientes las operaciones comerciales.

Verdades mezcladas con mentiras

Estas creativas estafas cibernéticas demuestran que quienes las orquestan no se detendrán ante nada para lograr sus objetivos. Incluso cuando los esfuerzos no dan resultado (como en el caso del deepfake del WPP), se convierten en advertencias de que la gente siempre debe estar en guardia para que las cosas no sean como parecen. Después de todo, la mayoría de las estafas en línea tienen elementos veraces mezclados con falsedades.

Había un producto llamado Google Bard, pero su uso no requería descargar software. Mark Read es el director ejecutivo de WPP, pero nunca organizó ni participó en esa reunión para establecer un nuevo negocio. Estos casos resaltan la importancia de pensar detenidamente antes de actuar y verificar las afirmaciones antes de tomar decisiones que podrían tener consecuencias catastróficas.