Engaño a través de correo electrónico, realizado para beneficio personal o para dañar a otra persona
El fraude por correo electrónico (o estafa por correo electrónico ) es un engaño intencional para beneficio personal o para dañar a otra persona utilizando el correo electrónico como vehículo. Casi tan pronto como el correo electrónico se generalizó, comenzó a utilizarse como medio para estafar a las personas, del mismo modo que
las generaciones anteriores utilizaban la telefonía y el correo en papel.
El fraude por correo electrónico puede adoptar la forma de un truco de confianza ("estafa", "estafa", etc.). Algunos trucos de confianza tienden a explotar la codicia y la deshonestidad inherentes de sus víctimas. La perspectiva de una "oferta" o de "algo a cambio de nada" puede resultar muy tentadora. El fraude por correo electrónico, como ocurre con otros " esquemas bunco ", generalmente se dirige a personas ingenuas que confían en esquemas para enriquecerse rápidamente. Estos incluyen inversiones "demasiado buenas para ser verdad" u ofertas para vender artículos populares a precios "increíblemente bajos".
Otra forma de fraude por correo electrónico es una técnica de suplantación de identidad conocida como suplantación de identidad de correo electrónico : mediante información de origen falsificada ( ) se engaña al destinatario From:
para que realice un pago anticipado en la cuenta del estafador en lugar del pago correcto. El método se conoce como phishing o Spear phishing : el 'phishing' consiste en enviar miles de correos electrónicos afirmando, por ejemplo, que una cuenta ha sido comprometida; El 'spear phishing' normalmente implica un mensaje elaborado con precisión dirigido a un único individuo que espera una solicitud para realizar un pago importante a un beneficiario legítimo.
Formularios
suplantación de identidad
El correo electrónico enviado por alguien que se hace pasar por otra persona se conoce como suplantación de identidad. La suplantación de identidad puede realizarse de varias maneras. Todos ellos tienen en común que el nombre real del remitente y el origen del mensaje están ocultos o enmascarados para el destinatario. Muchos casos de fraude por correo electrónico utilizan al menos la suplantación de identidad y, como la mayoría de los fraudes son claramente actos delictivos, los delincuentes suelen intentar evitar una fácil trazabilidad.
Suplantación de identidad
El phishing es un tipo de ingeniería social en el que un atacante envía un mensaje fraudulento (por ejemplo, falsificado, falso o engañoso) diseñado para engañar a una persona para que le revele información confidencial al atacante [1] [2] o para implementar software malicioso en el infraestructura de la víctima, como ransomware . Algunos mensajes falsos pretenden ser de una empresa existente, quizás una con la que la víctima prevista ya tiene una relación comercial. El "cebo" en este caso puede parecer un mensaje del "departamento de fraude" de, por ejemplo, el banco de la víctima, que pide al cliente que: "confirme su información"; "iniciar sesión en su cuenta"; "crear una nueva contraseña" o solicitudes similares. En lugar de ser dirigidos al sitio web en el que confían, se les remite a una página idéntica con una URL diferente. Después de ingresar sus datos de inicio de sesión, los perpetradores pueden ver su nombre de usuario y contraseña. En muchos casos, los correos electrónicos de phishing pueden parecer benignos; por ejemplo, un mensaje que indica al receptor que tiene una nueva solicitud de amistad en una plataforma de redes sociales. Independientemente de lo inocente que sea el mensaje en sí mismo, siempre conducirá a la víctima a una página web de imitación y a un mensaje de inicio de sesión falso.
En un estudio, los investigadores concluyeron que la reflexión cognitiva y las tendencias de búsqueda de sensaciones son predictores modestos pero significativos de la susceptibilidad al phishing. [3] Además, los participantes que fueron presionados a hacer juicios rápidos sobre la legitimidad del correo electrónico cometieron más errores. [3]
Ofertas falsas
Las solicitudes por correo electrónico para comprar bienes o servicios pueden ser casos de intento de fraude. La oferta fraudulenta suele incluir un artículo o servicio popular a un precio drásticamente reducido.
Los artículos pueden ofrecerse antes de su disponibilidad real. Por ejemplo, el último videojuego puede ofrecerse antes de su lanzamiento, pero a un precio similar al de una venta normal. En este caso, el "factor avaricia" es el deseo de conseguir algo que nadie más tiene y antes de que todos puedan conseguirlo, en lugar de una reducción del precio. Por supuesto, el artículo nunca se entrega, ya que, en primer lugar, no era una oferta legítima.
Tal oferta puede incluso no ser más que un intento de phishing para obtener la información de la tarjeta de crédito de la víctima, con la intención de usar la información para obtener bienes o servicios de manera fraudulenta, pagados por la desventurada víctima, quien tal vez no sepa que fue estafada hasta que La tarjeta de crédito se ha "agotado".
Solicitudes de ayuda
El tipo de fraude por correo electrónico de "solicitud de ayuda" toma esta forma: se envía un correo electrónico solicitando ayuda de alguna manera. Sin embargo, se incluye una recompensa por esta ayuda, que actúa como "gancho". La recompensa puede ser una gran cantidad de dinero, un tesoro o algún artefacto de supuestamente gran valor.
Este tipo de estafa existe al menos desde el Renacimiento , conocida como estafa del " Prisionero Español " o del "Prisionero Turco". En su forma original, este esquema pretende que el estafador mantenga correspondencia con una persona rica que ha sido encarcelada bajo una identidad falsa y depende del artista de confianza para recaudar dinero para asegurar su liberación. El estafador le dice a la " marca " (víctima) que se le "permite" darle dinero, por lo que debe esperar una generosa recompensa cuando el prisionero regrese. El artista de confianza afirma haber elegido a la víctima por su reputación de honestidad.
Otro
- El compromiso del correo electrónico empresarial es una clase de fraude por correo electrónico en el que los empleados con acceso privilegiado (como a las finanzas de la empresa) son engañados para que realicen pagos no válidos o instalen ransomware.
- Estafa de pago anticipado : entre las variaciones de este tipo de estafa, se encuentran la carta nigeriana, también llamada fraude 419 , estafa nigeriana, estafa bancaria nigeriana u oferta de dinero nigeriano. El emblema del Senado de Nigeria se utiliza a veces en esta estafa.
- Estafa de lotería : a menudo se le dice a la víctima prevista que su nombre o dirección de correo electrónico fueron seleccionados mediante una votación aleatoria por computadora y patrocinados por una empresa de marketing. Para reclamar sus supuestas ganancias, se le pide a la víctima que proporcione los detalles de su cuenta bancaria y otra información personal. Se solicita a la víctima que se comunique con el agente de reclamaciones o el departamento de adjudicaciones.
- Correo electrónico del FBI : afirma ser una "orden oficial" de la División de Delitos Monetarios y Antiterroristas del FBI, de una supuesta unidad del FBI en Nigeria, confirma una herencia o contiene una notificación de lotería, todos los destinatarios informan a los destinatarios que han sido nombrados beneficiarios de millones de dolares. [4]
- Hitman : Se envía un correo electrónico a la bandeja de entrada de la víctima, supuestamente de un sicario que ha sido contratado por un "amigo cercano" del destinatario para matarlo, pero cancelará el golpe a cambio de una gran suma de dinero. Esto suele ir acompañado de una advertencia de que si la víctima informa a la policía local o al FBI, el "sicario" se verá obligado a seguir adelante con el plan. Esto es menos un fraude de pago por adelantado y más una extorsión directa, pero a veces se puede ofrecer una recompensa en la forma de que el "sicario" se ofrezca a matar al hombre que ordenó el golpe original a la víctima. [5]
- Esquemas de inversión: correos electrónicos que promocionan inversiones que prometen altas tasas de rendimiento con poco o ningún riesgo. Una versión busca inversores que ayuden a formar un banco extraterritorial. La marca, el nombre y el logotipo de Fifth Third Bank se han explotado con frecuencia en esta estafa. La empresa de seguridad informática McAfee informa que, a principios de septiembre de 2006, más del 33% de los correos electrónicos fraudulentos de phishing que se informaron a McAfee utilizaban la marca Fifth Third Bank. [6]
- Estafa romántica : por lo general, esta estafa comienza en un sitio de citas en línea y rápidamente se traslada al correo electrónico personal, a una sala de chat en línea o a un sitio de redes sociales. De esta forma, los estafadores (supuestos hombres o mujeres) establecen relaciones en línea y, después de un tiempo, piden dinero a las víctimas. Afirman que el dinero es necesario debido al hecho de que lo perdieron (o les robaron el equipaje), fueron golpeados o lastimados de otra manera y necesitan salir del país para volar al país de la víctima.
- Estafa de extorsión en citas : después de incitar a una persona a mantener conversaciones íntimas, se le pide que pague a menos que quiera que sus conversaciones se publiquen en línea y se le considere tramposo. No hay informes del FBI que indiquen que los registros realmente se eliminen una vez realizado el pago. [7]
- Directorio de empresas en línea: normalmente ofrece una suscripción gratuita a un directorio inexistente con elevadas tarifas de mantenimiento en letra pequeña.
- Estafa de certificado de defunción: la persona obtendrá un obituario en Internet. Descubra familiares relacionados. Obtenga sus correos electrónicos. Póngase en contacto con ellos con una historia falsa de otro miembro de la familia a punto de morir, que por supuesto, sólo se cuenta en un lenguaje ambiguo. Se origina en Etiopía con la etiqueta "makelawi" en el correo electrónico, pero puede tener de (etiqueta de correo electrónico gratuita en alemán) junto con ella.
- Estafa de agencia matrimonial: haciéndose pasar por una agencia de traducción o una agencia matrimonial , en realidad no traducen correos electrónicos ni se conectan con novias reales, sino que fabrican correos electrónicos y crean perfiles falsos en sitios de citas . Pueden utilizar fotografías de personas reales de otros sitios web. Normalmente están dirigidos a hombres extranjeros que buscan novias de los antiguos países soviéticos . Cuando una víctima está comprometida, le piden gastos de comunicación como traducciones, llamadas de voz, videollamadas, "honorarios de agencia". Se hacen pasar por las novias en lugar de brindarles un servicio de búsqueda de pareja. Es posible que las verdaderas damas no se den cuenta de que alguien está usando su identidad.
- Comprador secreto : se solicita a la víctima prevista por correo electrónico que trabaje como "comprador secreto", a menudo después de que el currículum de la víctima se haya publicado en un sitio de búsqueda de empleo. Una vez comprometida, la víctima recibe un cheque falso junto con instrucciones y formularios para trabajar como comprador secreto. Las instrucciones proporcionadas generalmente consisten en realizar varias transacciones pequeñas en empresas cercanas, registrando su experiencia en un formulario de aspecto oficial. Generalmente se instruye a la víctima a crear también una transferencia bancaria significativa, con una solicitud para calificar la experiencia. El cheque falso se cobra en la institución financiera de la víctima desprevenida para poder realizar las tareas enumeradas.
- Spam de multas de tráfico : correos electrónicos fraudulentos que afirman que al destinatario se le había emitido una multa de tráfico. El spam, que falsificaba una dirección de correo electrónico nyc.gov, afirmaba ser de la Policía Estatal de Nueva York (NYSP). [8]
- Boca a boca : este tipo de spam de correo electrónico indica que una persona anónima publicó un secreto sobre el destinatario y que debe pagar una tarifa para poder ver el mensaje.
- Estafas laborales : la víctima busca trabajo y publica un currículum en cualquier sitio de trabajo de Internet. El estafador ve el currículum y envía a la víctima un correo electrónico afirmando ser un servicio de listado de empleo legítimo y afirmando tener un cliente que está buscando un empleado con sus habilidades y experiencia. Se invita a la víctima a hacer clic en un enlace para solicitar el trabajo. Al hacer clic en el enlace, la víctima accede a una descripción del trabajo escrita específicamente para las habilidades y experiencia en el currículum de la víctima, proporciona un salario muy alto y la invita a "hacer clic aquí" para solicitar el trabajo. Si la víctima hace clic en el enlace "aplicar", se le dirige a un formulario de "solicitud" que solicita la información normal de la solicitud de empleo, MÁS el número de seguro social de la víctima, la fecha de nacimiento, el nombre del banco y el número de cuenta donde querrá que se deposite su cheque de pago, una referencia "pariente", etc. Con esta información, el estafador puede abrir una cuenta bancaria en cualquier banco en línea y utilizar el crédito de la víctima para comprar artículos en línea y enviarlos a asociados que están involucrados en la estafa.
- Estafa de PayPal: correos electrónicos fraudulentos que afirman que a la víctima se le ha emitido un pago en su cuenta; sin embargo, el procesamiento se completará una vez que la víctima haya enviado el artículo que está vendiendo a la dirección de la persona. Esta estafa es sobre todo común en la venta de artículos a particulares en el extranjero.
Evitar el fraude por correo electrónico
Debido al uso generalizado de errores web en el correo electrónico, simplemente abrir un correo electrónico puede alertar al remitente de que la dirección a la que se envía el correo electrónico es una dirección válida. Esto también puede suceder cuando el correo es 'reportado' como spam , en algunos casos: si el correo electrónico se reenvía para su inspección y se abre, se notificará al remitente de la misma manera que si el destinatario lo abriera.
El fraude por correo electrónico se puede evitar mediante:
- No responder a correos electrónicos sospechosos.
- Mantener la dirección de correo electrónico lo más secreta posible.
- Usando un filtro de spam .
- Notar varios errores de ortografía en el cuerpo del correo electrónico "que parece oficial".
- Ignorar correos electrónicos no solicitados de todo tipo y eliminarlos.
- No hacer clic en enlaces.
- No abrir archivos adjuntos inesperados, incluso si parecen ser de alguien en quien el usuario confía. Muchos estafadores de correo electrónico adjuntan virus o malware a los correos electrónicos.
- Ignorar ofertas de fuentes desconocidas. El contenido de un correo electrónico no es un acuerdo formal ni vinculante.
Muchos fraudes no se denuncian a las autoridades debido a sentimientos de vergüenza, culpa o vergüenza.
Ver también
Referencias
- ^ Jansson, K.; von Solms, R. (9 de noviembre de 2011). "Phishing para concienciar sobre el phishing". Comportamiento y tecnología de la información . 32 (6): 584–593. doi :10.1080/0144929X.2011.632650. ISSN 0144-929X. S2CID 5472217.
- ^ Fátima, Rubia; Yasin, Affan; Liu, Lin; Wang, Jianmin (11 de octubre de 2019). "¿Qué tan persuasivo es un correo electrónico de phishing? Un juego de phishing para concienciar sobre el phishing". Revista de seguridad informática . 27 (6): 581–612. doi :10.3233/JCS-181253. S2CID 204538981.
- ^ ab Jones, Helen S.; Towse, John N.; Raza, Nicolás; Harrison, Timoteo (16 de enero de 2019). "Fraude por correo electrónico: la búsqueda de predictores psicológicos de susceptibilidad". MÁS UNO . 14 (1): e0209684. doi : 10.1371/journal.pone.0209684 . ISSN 1932-6203. PMC 6334892 . PMID 30650114.
- ^ "Nuevas advertencias y estafas electrónicas. FBI". FBI.gov . Consultado el 18 de febrero de 2012 .
- ^ "Estafa de soborno a Hitman". snopes.com . Consultado el 18 de febrero de 2012 .
- ^ "Las 10 principales estafas de phishing". McAfee. 2006-09-01 . Consultado el 1 de septiembre de 2006 .
- ^ "Alertas de estafas del Centro de denuncias de delitos en Internet". IC3.gov. 23 de octubre de 2012 . Consultado el 22 de diciembre de 2013 .
- ^ "Centro de denuncias de delitos en Internet (IC3): alertas de estafas". ic3.gov. 17 de octubre de 2011 . Consultado el 26 de octubre de 2011 .