Fraude por correo electrónico

Engaño a través de correo electrónico, realizado para beneficio personal o para dañar a otra persona

El fraude por correo electrónico (o estafa por correo electrónico ) es un engaño intencional para obtener un beneficio personal o para dañar a otra persona utilizando el correo electrónico como vehículo. Casi tan pronto como el correo electrónico se volvió ampliamente utilizado, comenzó a utilizarse como un medio para defraudar a las personas, al igual que la telefonía y el correo postal fueron utilizados por generaciones anteriores.

El fraude por correo electrónico puede adoptar la forma de un engaño ("estafa", "timo", etc.). Algunos engaños tienden a explotar la codicia y la deshonestidad inherentes de sus víctimas. La perspectiva de una "ganga" o "algo por nada" puede ser muy tentadora. El fraude por correo electrónico, al igual que otros " esquemas de estafa ", generalmente se dirige a personas ingenuas que depositan su confianza en esquemas para enriquecerse rápidamente. Estos incluyen inversiones "demasiado buenas para ser verdad" u ofertas para vender artículos populares a precios "imposiblemente bajos".

Otra forma de fraude por correo electrónico es una técnica de suplantación de identidad conocida como suplantación de identidad por correo electrónico : el destinatario es engañado mediante información de origen falsificada ( From:) para que realice un pago anticipado en la cuenta del estafador en lugar de la correcta. El método se conoce como phishing o spear phishing : el 'phishing' implica enviar miles de correos electrónicos afirmando, por ejemplo, que una cuenta ha sido comprometida; el 'spear phishing' generalmente implica correos electrónicos o mensajes personalizados y dirigidos diseñados para engañar a personas u organizaciones específicas para que revelen información confidencial o realicen acciones maliciosas. ^[1]

Formularios

Suplantación de identidad

El correo electrónico enviado por alguien que se hace pasar por otra persona se conoce como suplantación de identidad. La suplantación de identidad puede ocurrir de varias maneras. Todas ellas tienen en común que el nombre del verdadero remitente y el origen del mensaje se ocultan o enmascaran al destinatario. Muchos casos de fraude por correo electrónico utilizan al menos la suplantación de identidad y, como la mayoría de los fraudes son claramente actos delictivos, los delincuentes suelen tratar de evitar que se los pueda rastrear fácilmente.

Suplantación de identidad (phishing)

El phishing es un tipo de ingeniería social en el que un atacante envía un mensaje fraudulento (por ejemplo, falsificado, falso o engañoso) diseñado para engañar a una persona para que revele información confidencial al atacante ^{[2] [3]} o para implementar software malicioso en la infraestructura de la víctima, como ransomware . Algunos mensajes falsos pretenden ser de una empresa existente, tal vez una con la que la víctima prevista ya tiene una relación comercial. El 'cebo' en este caso puede parecer un mensaje del "departamento de fraude" de, por ejemplo, el banco de la víctima, que le pide al cliente que: "confirme su información"; "inicie sesión en su cuenta"; "cree una nueva contraseña", o solicitudes similares. En lugar de ser dirigidos al sitio web en el que confían, se los remite a una página de apariencia idéntica con una URL diferente.

Después de introducir sus datos de acceso, los delincuentes pueden ver su nombre de usuario y contraseña. En muchos casos, los correos electrónicos de phishing pueden parecer inofensivos (por ejemplo, un mensaje que informa al destinatario de que tiene una nueva solicitud de amistad en una plataforma de redes sociales). Independientemente de lo inocente que sea el mensaje en sí, siempre conducirá a la víctima a una página web falsa y a un mensaje de inicio de sesión falso.

En un estudio, los investigadores concluyeron que la reflexión cognitiva y las tendencias de búsqueda de sensaciones son predictores modestos pero significativos de la susceptibilidad al phishing. ^[4] Además, los participantes que fueron presionados para realizar juicios rápidos sobre la legitimidad de los correos electrónicos cometieron más errores. ^[4]

Ofertas falsas

Las solicitudes de compra de bienes o servicios por correo electrónico pueden ser ejemplos de intentos de fraude. La oferta fraudulenta suele incluir un artículo o servicio popular a un precio drásticamente reducido.

Los artículos pueden ofrecerse antes de su disponibilidad real. Por ejemplo, el último videojuego puede ofrecerse antes de su lanzamiento, pero a un precio similar al de una venta normal. En este caso, el "factor codicia" es el deseo de conseguir algo que nadie más tiene, y antes de que todos los demás puedan conseguirlo, en lugar de una reducción en el precio. Por supuesto, el artículo nunca se entrega, ya que no era una oferta legítima en primer lugar.

Una oferta de este tipo puede incluso no ser más que un intento de phishing para obtener información de la tarjeta de crédito de la víctima, con la intención de usar la información para obtener fraudulentamente bienes o servicios, pagados por la desventurada víctima, quien puede no saber que fue estafada hasta que su tarjeta de crédito haya sido "agotada".

Solicitudes de ayuda

El tipo de fraude por correo electrónico de "solicitud de ayuda" adopta esta forma: se envía un correo electrónico solicitando ayuda de algún modo. Sin embargo, se incluye una recompensa por esa ayuda, que actúa como un "gancho". La recompensa puede ser una gran cantidad de dinero, un tesoro o algún artefacto de supuesto gran valor.

Este tipo de estafa existe al menos desde el Renacimiento y se la conoce como la estafa del " prisionero español " o del "prisionero turco". En su forma original, el estafador se hace pasar por un hombre que mantiene correspondencia con una persona adinerada que ha sido encarcelada bajo una identidad falsa y que confía en el estafador para recaudar dinero para asegurar su liberación. El estafador le dice al " objetivo " (la víctima) que tiene "permiso" para proporcionar dinero, por lo que debe esperar una generosa recompensa cuando el prisionero regrese. El estafador afirma haber elegido a la víctima por su reputación de honestidad.

Otro

• La vulneración del correo electrónico empresarial es una clase de fraude por correo electrónico en el que los empleados con acceso privilegiado (por ejemplo, a las finanzas de la empresa) son engañados para que realicen pagos no válidos o instalen ransomware.
• Estafa de pago por adelantado : entre las variantes de este tipo de estafa, se encuentran la Carta nigeriana, también llamada fraude 419 , estafa nigeriana, estafa bancaria nigeriana u oferta de dinero nigeriano. En ocasiones, en esta estafa se utiliza el emblema del Senado nigeriano .
• Estafa de lotería : a menudo se le dice a la víctima que su nombre o dirección de correo electrónico fue seleccionado a través de una votación aleatoria por computadora y que fue patrocinada por una empresa de marketing. Para reclamar sus supuestos premios, se le pide a la víctima que proporcione los datos de su cuenta bancaria y otra información personal. Se le pide a la víctima que se comunique con el agente de reclamos o el departamento de premios.
• Correo electrónico del FBI : afirma ser una “orden oficial” de la División Antiterrorista y de Delitos Monetarios del FBI, de una supuesta unidad del FBI en Nigeria, confirma una herencia o contiene una notificación de lotería, todo ello informando a los destinatarios que han sido nombrados beneficiarios de millones de dólares. ^[5]
• Sicario : Se envía un correo electrónico a la bandeja de entrada de la víctima, supuestamente de un sicario que ha sido contratado por un "amigo cercano" del destinatario para matarlo, pero que cancelará el asesinato a cambio de una gran suma de dinero. Esto suele ir acompañado de una advertencia de que si la víctima informa a la policía local o al FBI, el "sicario" se verá obligado a seguir adelante con el plan. Esto no es tanto un fraude de pago por adelantado como una extorsión abierta, pero a veces se puede ofrecer una recompensa en forma de que el "sicario" se ofrezca a matar al hombre que ordenó el asesinato original de la víctima. ^[6]
• Esquemas de inversión: mensajes de correo electrónico que promocionan inversiones que prometen altas tasas de retorno con poco o ningún riesgo. Una versión busca inversores que ayuden a formar un banco offshore. La marca, el nombre y el logotipo de Fifth Third Bank han sido frecuentemente explotados en esta estafa. La empresa de seguridad informática McAfee informa que, a principios de septiembre de 2006, más del 33% de los mensajes de correo electrónico de estafa de phishing que se reportaron a McAfee usaban la marca de Fifth Third Bank. ^[7]
• Estafa romántica : por lo general, esta estafa comienza en un sitio de citas en línea y rápidamente se traslada al correo electrónico personal, sala de chat en línea o sitio de redes sociales. Bajo esta forma, los estafadores (que se hacen pasar por hombres o mujeres) entablan relaciones en línea y, después de un tiempo, piden dinero a las víctimas. Afirman que necesitan el dinero porque han perdido su dinero (o les han robado el equipaje), han sido golpeados o lastimados de alguna otra manera y necesitan salir del país para volar al país de la víctima.
• Estafa de extorsión en las citas : después de engañar a una persona para que mantenga conversaciones íntimas, se le dice que pague a menos que quiera que sus conversaciones se publiquen en línea y se le acusa de infiel. No hay informes del FBI que indiquen que los registros se eliminen realmente una vez que se ha realizado el pago. ^[8]
• Directorio de negocios en línea: generalmente ofrece una suscripción gratuita a un directorio inexistente con tarifas elevadas de mantenimiento en la letra pequeña.
• Estafa del certificado de defunción: la persona obtiene un obituario de Internet. Averigüe quiénes son sus familiares. Obtenga sus correos electrónicos. Póngase en contacto con ellos con una historia falsa sobre otro miembro de la familia que está a punto de morir, que, por supuesto, solo se cuenta en un lenguaje ambiguo. Se origina en Etiopía con la etiqueta "makelawi" en el correo electrónico, pero puede tener de (etiqueta de correo electrónico gratuita alemana) junto con ella.
• Estafa de agencias matrimoniales: Se hacen pasar por agencias de traducción o agencias matrimoniales , pero en realidad no traducen correos electrónicos ni se conectan con novias reales, sino que inventan correos electrónicos y crean perfiles falsos en sitios de citas . Pueden usar fotos de personas reales de otros sitios web. Por lo general, están dirigidos a hombres extranjeros que buscan novias de los países de la ex Unión Soviética . Cuando una víctima está comprometida, piden gastos de comunicación como traducciones, llamadas telefónicas, videollamadas, "honorarios de agencia". Se hacen pasar por las novias en lugar de brindarles un servicio de emparejamiento. Las mujeres reales pueden no saber que alguien está usando su identidad.
• Comprador secreto : Se le solicita a la víctima por correo electrónico que trabaje como "comprador secreto", a menudo después de que su currículum se haya publicado en un sitio de búsqueda de empleo. Una vez contratado, se le envía a la víctima un cheque falso junto con instrucciones y formularios para trabajar como comprador secreto. Las instrucciones proporcionadas generalmente son que realice varias transacciones pequeñas en negocios cercanos, registrando su experiencia en un formulario de apariencia oficial. Universalmente, la instrucción es que la víctima también realice una importante transferencia bancaria, con una solicitud para evaluar la experiencia. El cheque falso se cobra en la institución financiera de la víctima desprevenida para realizar las tareas enumeradas.
• Spam con multas de tráfico : mensajes de correo electrónico fraudulentos que afirman que el destinatario ha recibido una multa de tráfico. El spam, que suplantaba una dirección de correo electrónico de nyc.gov, afirmaba ser de la Policía del Estado de Nueva York (NYSP). ^[9]
• Boca a boca : este tipo de correo electrónico no deseado afirma que una persona anónima publicó un secreto sobre el destinatario y que debe pagar una tarifa para ver el mensaje.
• Estafas laborales : la víctima busca trabajo y publica su currículum en cualquier sitio de empleo de Internet. El estafador ve el currículum y le envía un correo electrónico a la víctima, en el que afirma ser un servicio legítimo de publicación de ofertas de trabajo y afirma tener un cliente que busca un empleado con sus habilidades y experiencia. Se invita a la víctima a hacer clic en un enlace para postularse al trabajo. Al hacer clic en el enlace, la víctima accede a una descripción del trabajo escrita específicamente para las habilidades y la experiencia que aparecen en el currículum de la víctima, y ​​le ofrece un salario muy alto y la invita a hacer "clic aquí" para postularse al trabajo. Si la víctima hace clic en el enlace "Solicitar", se la lleva a un formulario de "solicitud" que solicita la información normal de una solicitud de empleo, MÁS el número de seguro social de la víctima, la fecha de nacimiento, el nombre del banco y el número de cuenta donde desea que se deposite su cheque de pago, una referencia "familiar", etc. Con esta información, el estafador puede abrir una cuenta bancaria en cualquier banco en línea y utilizar el crédito de la víctima para comprar artículos en línea y enviarlos a los asociados que participan en la estafa.
• Estafa de PayPal: correos electrónicos fraudulentos que afirman que se ha emitido un pago a la cuenta de la víctima, pero que el procesamiento se completará una vez que la víctima haya enviado el artículo que está vendiendo a la dirección de la persona. Esta estafa es muy común en la venta de artículos a personas en el extranjero.
• La estrategia de la factura falsa: recibes un correo electrónico con una factura en la que se afirma que debes dinero por un producto o servicio que nunca pediste. El correo electrónico parece legítimo e incluye el logotipo oficial de la empresa o escuela. Al abrir el archivo adjunto, tu computadora puede infectarse con malware.
• Estafa de tarjetas de regalo: alguien ha pirateado la cuenta de correo electrónico de un amigo cercano y recibes un mensaje de esa persona pidiéndote ayuda para comprar tarjetas de regalo. Las personas de buen corazón que están dispuestas a ayudar suelen ser víctimas de esta estafa.

Cómo evitar el fraude por correo electrónico

Debido al uso generalizado de web bugs en el correo electrónico, el simple hecho de abrir un correo electrónico puede alertar al remitente de que la dirección a la que se envía el correo electrónico es una dirección válida. Esto también puede ocurrir cuando el correo electrónico se "denuncia" como spam ; en algunos casos, si el correo electrónico se reenvía para su inspección y se abre, el remitente recibirá la notificación de la misma manera que si el destinatario lo hubiera abierto.

El fraude por correo electrónico se puede evitar:

• No responder a correos electrónicos sospechosos.
• Mantener la dirección de correo electrónico lo más secreta posible.
• Usando un filtro de spam .
• Observando los varios errores ortográficos en el cuerpo del correo electrónico de "aspecto oficial".
• Ignorar correos electrónicos no solicitados de todo tipo y eliminarlos.
• No hacer clic en los enlaces.
• No abrir archivos adjuntos inesperados, incluso si parecen provenir de alguien en quien el usuario confía. Muchos estafadores de correo electrónico adjuntan virus o malware a los mensajes.
• Ignorar ofertas de fuentes desconocidas. El contenido de un correo electrónico no constituye un acuerdo formal ni vinculante.

Muchos fraudes no se denuncian a las autoridades debido a sentimientos de vergüenza, culpa o bochorno.

Véase también

• Fraude postal y electrónico  : delitos federales en Estados Unidos
• Truco de confianza  : intento de defraudar a una persona o grupoPáginas que muestran descripciones breves de los objetivos de redireccionamiento
• Esquemas para hacerse rico rápidamente  : estafas que prometen altas tasas de retorno por una pequeña inversiónPáginas que muestran descripciones breves de los objetivos de redireccionamiento
• Fraude en Internet  – Fraude o engaño a través de Internet
• Seguimiento de correo electrónico  : para comprobar si se ha leído un correo electrónico
• Spy Pixel  : imágenes ocultas para rastrear la visualización de correos electrónicos

Referencias

1. Myers, Brandon. "¿Qué es el Spear Phishing?". Soporte para PC .
2. Jansson, K.; von Solms, R. (9 de noviembre de 2011). "Phishing para concienciar sobre el phishing". Tecnología de la información y comportamiento . 32 (6): 584–593. doi :10.1080/0144929X.2011.632650. ISSN  0144-929X. S2CID  5472217.
3. Fatima, Rubia; Yasin, Affan; Liu, Lin; Wang, Jianmin (11 de octubre de 2019). "¿Qué tan persuasivo es un correo electrónico de phishing? Un juego de phishing para generar conciencia sobre el phishing". Journal of Computer Security . 27 (6): 581–612. doi :10.3233/JCS-181253. S2CID  204538981.
4. Jones, Helen S.; Towse, John N.; Race, Nicholas; Harrison, Timothy (16 de enero de 2019). "Fraude por correo electrónico: la búsqueda de predictores psicológicos de susceptibilidad". PLOS ONE . ​​14 (1): e0209684. doi : 10.1371/journal.pone.0209684 . ISSN  1932-6203. PMC 6334892 . PMID  30650114. 
5. "Nuevas estafas y advertencias por Internet. FBI". Fbi.gov . Consultado el 18 de febrero de 2012 .
6. "Estafa de soborno de sicarios". snopes.com . Consultado el 18 de febrero de 2012 .
7. "Las 10 principales estafas de phishing". McAfee. 1 de septiembre de 2006. Consultado el 1 de septiembre de 2006 .
8. "Alertas de estafas del Centro de denuncias de delitos en Internet". IC3.gov. 23 de octubre de 2012. Consultado el 22 de diciembre de 2013 .
9. "Centro de denuncia de delitos en Internet (IC3) – Alertas de estafas". ic3.gov. 17 de octubre de 2011. Consultado el 26 de octubre de 2011 .