Avisan de una nueva estafa por correo electrónico a hoteles, hostales y alojamientos vacacionales
La compañía de ciberseguridad Kaspersky ha descubierto un nuevo fraude que utiliza los correos electrónicos o el WhatsApp para estafar a hoteles y otros negocios de alojamientos vacacionales. Se hacen pasar por clientes interesados para robar sus datos.
La firma de ciberseguridad Kaspersky ha alertado sobre una nueva ciberestafa dirigida a los autónomos dedicados al hospedaje de viajeros, en la que los delincuentes intentan robar credenciales de acceso o infectar ordenadores del negocio con malware.
Según informó la empresa, el esquema que sigue la estafa, que comenzó a manifestarse el verano pasado, se inicia con los estafadores enviando correos electrónicos o mensajes de WhatsApp, haciéndose pasar por antiguos huéspedes o clientes potenciales con el objetivo de “hacer uso el servicio al cliente” del que disponen estos negocios.
Según la compañía, diferentes negocios del sector han estado recibiendo estos mensajes electrónicos maliciosos, y habrían procedido a su apertura, cayendo en el engaño, al tratarse de una supuesta correspondencia de antiguos o nuevos clientes.
Los ciberdelincuentes envían a las direcciones de correo del hotel imitaciones de consultas o las quejas de los huéspedes, o aparecen en forma de solicitudes urgentes en plataformas de reserva de habitaciones como comentarios de usuarios. Pero son atacantes que tratan de conseguir las contraseñas de inicio de sesión de los ordenadores o infectar con malware los sistemas del hotel.
Como apuntó la firma, entre las dificultades para identificar la amenaza se encuentra el factor de que los atacantes no necesitan diseñar una dirección de correo electrónico específica para comunicarse con el negocio, sino que “el personal del hotel recibe rutinariamente las consultas y quejas de los huéspedes a través de servicios gratuitos de correo electrónico -como sucede con Gmail-”, así que se aprovechan de estas plataformas para enviar el contenido dañino.
Debido a la importancia que tiene la reputación de los negocios, el personal “tiende a responder rápidamente” este tipo de correos o mensajes, por lo que “aumenta la probabilidad de caer en la trampa”, pinchando en enlaces o archivos maliciosos.
Hay dos tipos de correos maliciosos que están recibiendo los negocios dedicados al hospedaje
La empresa de ciberseguridad también aclaró que tipos de mensajes se clasifican en dos categorías, pero, en ambos casos, dedicados a explotar una vulnerabilidad del negocio, como es, en este caso, la diligencia de los empleados que resuelven los problemas de atención al cliente. “Al imitar consultas o quejas de los huéspedes, manipulan el compromiso del personal para resolver problemas rápidamente”.
La primera forma de estafa se trata de falsas quejas de antiguos huéspedes que describen experiencias negativas para incitar al autónomo o al personal a acceder a los enlaces o a abrir a los archivos que se incluyen en las quejas -y que contienen malware-. El segundo fraude consiste en enviar correos electrónicos aparentando ser un cliente o huésped potencial que desea realizar alguna consulta. En este caso, a través de las preguntas buscan “recolectar credenciales para usarlas en futuros planes de ataque o venderlas en foros de la web oscura”.
Los expertos en ciberseguridad alertan de que las estafas por correo electrónico continúan representando una amenaza
El phishing por correo electrónico y el malware “continúan representando una amenaza cibernética significativa”, como concluye el 'Informe anual de spam y phishing' de Kaspersky. Este resultado sustenta la tendencia que venían reflejando los últimos datos del Ministerio del Interior, donde se recogió un aumento del 22% de los ciberdelitos en 2022 con respecto al año anterior, cifrando en 375.000 los ciberdelitos registrados.
Para mantenerse protegido frente a estos ataques, la firma sugiere algunas recomendaciones, como las siguientes:
- Proporcionar al personal formación básica en higiene de ciberseguridad.
- Encontrar una solución dedicada para pequeñas y medianas empresas con gestión simple y características de protección probadas.
- Utilizar soluciones de protección para servidores de correo con capacidades anti-phishing,
- Buscar una solución de protección para endpoints y servidores de correo con capacidades anti-phishing,
- Proteger también el servicio en la nube Microsoft 365 si el negocio la utiliza.
