Como sabrá y habrá verificado, confirme que usted no es un robot se ha convertido en una rutina en Internet, pero ahora Esa caja de verificación inofensiva podría ser una trampa.
La Policía Nacional ha lanzado una alerta sobre Captchas falsos en Tiktok, diseñado por cibercriminales para instalar malware y robar datos personales y bancarios.
En un video reciente publicado en esta red social, la policía advierte: «Es cierto, no es un robot, por lo que no seas el modo automático. Preste atención porque estos mensajes llamados Captcha no siempre garantizan su seguridad».
¿Cuáles son los Captchas falsos y cómo funcionan? Un Captcha 100% real es una herramienta diseñada para distinguir entre humanos y bots, utilizados por plataformas como Google para proteger los datos privados y evitar ataques automatizados.
Sin embargo, y como siempre sucede, los cibercriminales han encontrado una manera de replicar su estética y funcionalidad para ingresar a los dispositivos. El proceso es simple: cuando marca el cuadro ‘No soy un robot’, el sistema copia automáticamente un código malicioso en el portapapeles del usuario.
En algunos casos, Se solicita que haga una combinación de claves como Windows+R seguido de Ctrl+V e Enter, lo que da lugar a activado automáticamente el malware. Este programa puede robar contraseñas, datos bancarios e incluso dar control total del dispositivo al atacante.
Por supuesto, y para que no sospeche nada, los ciberdechas generalmente imitan la estética de los navegadores como Chrome para que el Captcha se vea real.
Según informes recientes, este método fue reportado por primera vez a fines de 2024 por la oficina federal de seguridad cibernética suiza (BACS) y desde entonces no ha dejado de crecer, evolucionar y sofisticarse. También la Oficina Federal de Seguridad de la Información de Alemania (BSI) ha lanzado varias advertencias sobre estos ataques.
En cuanto al daño que puede causar este tipo de estafa, puede tener una idea: Desde el robo de credenciales hasta la pérdida total del control del dispositivo. Además, los cibercuidos están utilizando estos métodos para acceder a las criptomonedas y manipular cuentas bancarias, aumentando, en caso de que pueda poco, el problema.
No haga clic en Modo automático: cómo identificar un Captcha falso
La Policía Nacional ha lanzado algunos consejos para diferenciar sin demasiados problemas entre un captcha real y falso:
- Desconfía de si aparece un fuera de contexto: si está navegando en una página donde no se usan, podría ser una señal de alerta.
- Sospecha que si le piden que copie y pegue los códigos: este es uno de los métodos más utilizados por Captchas falsos para infectar dispositivos.
- Analice la URL: Compruebe si contiene errores o símbolos extraños antes de hacer cualquier cosa con el Captcha.
Según Kaspersky, Ya están advirtiendo para saltar todas las alarmas y comentar que estos mensajes falsos en casi todos los casos incluirán instrucciones para copiar y pegar códigos.que debería activar todas las alarmas en el usuario.
Este kit de ‘malware’ se vende en telegrama por unos 2,000 dólares
Continuando con este hilo de estafas que no dejan a nadie tranquilo, atento porque parece que hay un nuevo enemigo acechando a los usuarios de Gmail y Outlov: el kit phishing astaroth, Un sistema elaborado que ha logrado violar la autenticación de dos factores (2FA), considerado hasta donde es una de las barreras más seguras contra los ciberbebrains.
Simplemente, Astaroth utiliza un método conocido como proxy inverso, que actúa como intermediario entre el usuario y el servidor legítimo. Por lo tanto, los atacantes se pueden hacer con las credenciales y los tokens de autenticación sin elevar sospechas.
En cuanto al proceso para que caiga, es el siguiente. Cuando una víctima accede a un enlace malicioso, se redirige a un servidor que imita la página de inicio de sesión legítimo.
Con certificados SSL válidos, el sitio parece totalmente seguro, pero en realidad está diseñado para interceptar los datos que puso. Una vez que han hecho con ellos, los atacantes reciben credenciales y códigos 2FA en tiempo real, lo que les permite acceder sin ningún problema y no necesitan interactuar directamente con el dispositivo del usuario.
Lo que realmente se preocupa es lo fácil que puedes hacer con este kit. Astaroth se vende de manera totalmente normal en plataformas como Telegram por aproximadamente 2,000 dólares, incluidos soporte técnico y actualizaciones durante seis meses.
Saber Cómo trabajamos en Informática.
Etiquetas: Consejos, privacidad, datos, estafa
Con información de Telam, Reuters y AP
