Este intento de estafa de factura criptográfica generada por IA casi me atrapa, y soy un profesional de la seguridad
Intento de estafa de factura criptográfica generada por IA casi me atrapa siendo un profesional de la seguridad
Me he tomado un merecido descanso de escribir en ENBLE durante los últimos seis meses. Ahora, he vuelto, y lo primero que tengo que decirles es que soy un idiota.
En el tiempo que he estado ausente, he tenido mucha exposición a la inteligencia artificial generativa (IA) y a los modelos de lenguaje grandes (LLMs) como profesional de creación de contenido, tanto como una herramienta poderosa para mejorar la productividad, como asistente creativo. Pero como con cualquier tecnología, hay un lado oscuro y el potencial de abuso.
También: 6 formas perjudiciales en las que ChatGPT puede ser utilizado por actores malintencionados
La semana pasada, casi con certeza fui el objetivo de un intento de phishing asistido por IA. Casi caigo en él, a pesar de haber escrito profesionalmente sobre este tema y de haber trabajado anteriormente como analista de amenazas en una importante empresa de seguridad de la información especializada en proteger a las empresas contra ataques de phishing.
¿Debería haber sabido mejor? Absolutamente.
- Compra una membresía de Costco por un año y obtén una tarjeta de re...
- Apple Pay apoyará a la Fundación del Parque Nacional de los Estados...
- Los mejores relojes Garmin Epix Pro, Instinct, Vivoactive y más com...
Pero como seres humanos, solo somos tan buenos como lo bien que estamos entrenados para reconocer el fraude, y parte de esa capacidad es poder distinguir lo falso de lo real y entrenar al cerebro reptiliano ancestral para que nos grite cuando algo huele mal.
También: La IA generativa trae nuevos riesgos para todos. Así es cómo puedes mantenerte seguro
Sin embargo, si algo parece auténtico en suficiente medida, incluso alguien con mucha experiencia puede terminar haciendo algo imprudente. Y esa persona fui yo.
Cómo me estafaron usando IA
En las últimas semanas, he recibido correos electrónicos que se asemejan mucho a facturas de Stripe, un procesador de pagos utilizado a menudo para transacciones de criptomonedas. El correo electrónico es un mensaje con formato HTML que se ve muy auténtico e incluso incluye archivos PDF que parecen facturas por compras de criptomonedas a través de Coinbase.
Correo electrónico de phishing haciéndose pasar por una factura de PayPal.
PDF adjunto con un pago falsificado de Coinbase a través de PayPal, con un número de teléfono convincente de soporte al cliente de 888.
Estoy acostumbrado a ver correos electrónicos de phishing que son mucho menos convincentes porque tienen errores de formato, redacción y ortografía fácilmente detectables. Incluso los campos de asunto del correo electrónico a veces parecen incomprensibles, no son comunicaciones oficiales de un proveedor o servicio auténtico.
También: Los mejores servicios de VPN para viajar en este momento: probados y revisados por expertos
Además, los intentos de phishing a los que estoy acostumbrado tienen enlaces que apuntan a sitios bancarios o de proveedores falsos con URL misteriosas, donde luego se te solicita ingresar credenciales y terminas revelando contraseñas. Cuando recibo este tipo de correos electrónicos de phishing, mis alarmas se activan y los denuncio.
Muchos de ellos son tan obviamente falsos que ni siquiera llegan a mi bandeja de entrada, van directamente a spam. También he entrenado mi cerebro para nunca hacer clic en un enlace, y no hice clic en ninguno de los enlaces de este correo electrónico tampoco.
Sin embargo, en este caso, Gmail no marcó el intento de phishing como spam. La factura y el lenguaje del correo electrónico estaban tan bien escritos y formateados que es muy probable que se haya utilizado IA para imitar cómo podría verse una de estas facturas de Stripe y evadir los filtros humanos y de Gmail. Y como no compro criptomonedas, no sé cómo se ve una factura “real”.
También: Lo que debes saber sobre el desastre de pérdida de datos de SanDisk/Western Digital
Ahora, no hay una forma fácil de demostrar que la IA haya optimizado alguno de los textos del correo electrónico o de los PDF, pero dado el acceso gratuito y fácil a las herramientas de IA durante el último año, es cada vez más probable que se hayan utilizado en su creación.
Este es uno de los peligros de la IA generativa. Estas herramientas pueden utilizarse para generar texto e imágenes y producir comunicaciones fraudulentas que parecen lo suficientemente perfectas como para pasar una inspección.
La complicación del factor humano, etapa dos
La otra etapa de esta campaña de phishing muy convincente es que la factura tiene un número de soporte gratuito 888 que te indica que llames si no reconoces la transacción.
También: Los estafadores están utilizando IA para hacerse pasar por tus seres queridos
Aunque los números de teléfono 800 y 888 a menudo se falsifican con fines de telemarketing, también son utilizados por organizaciones legítimas para centros de llamadas porque la Comisión Federal de Comunicaciones rastrea su emisión. Sin embargo, he aprendido que los delincuentes los están utilizando para sus propios centros de llamadas.
Número de teléfono real de PayPal.
Debido a que estaba preocupado por que se estuviera utilizando mi correo electrónico para realizar transacciones financieras, llamé a este número, creyendo que era PayPal mismo, y me conecté a un centro de llamadas ocupado en India, donde el representante sabía suficientes detalles sobre mí como para sonar aterradoramente auténtico.
También: No estamos preparados para el impacto de la IA generativa en las elecciones
Me dijo que algunos dispositivos en Ohio, China, Texas y Nueva Jersey estaban intentando realizar compras de criptomonedas a través de este servicio de Stripe a través de Coinbase. Sin embargo, un paso final de control evitó que la transacción se llevara a cabo. Uf.
Google utilizará con gusto la IA generativa para decirte el número de teléfono auténtico. Esperemos.
Sin embargo, para eliminar esos dispositivos de mi perfil de PayPal y para marcar mi cuenta, para dejar de recibir estos correos electrónicos falsos, necesitaba enviarle códigos asociados con correos electrónicos adjuntos a mi cuenta de Amazon que él enviaría a mi correo electrónico/número de teléfono.
Debería haberme despertado en ese momento, pero eran las 8 de la mañana y mi primera bebida de espresso aún no había saturado por completo mi torrente sanguíneo.
También: Las mejores llaves de seguridad en este momento: Probadas por expertos
Esos códigos son códigos de autenticación de dos factores (2FA) que usarías si perdieras el acceso a tu cuenta de Amazon, si tuvieras 2FA configurado, y nunca deberías dárselos a nadie.
De hecho, fui lo suficientemente tonto como para enviarle al tipo el primer código 2FA, y justo cuando me preguntó qué tarjeta Mastercard estaba usando, para que pudieran “marcarla”, mi cerebro reptil se despertó; colgué el teléfono e inmediatamente restablecí mis contraseñas de PayPal y Amazon.
Luego encontré el número de teléfono real de PayPal: 1 (888) 221-1161, y hablé con su departamento de fraude y seguridad, quienes me dijeron que era una víctima de phishing y que reenviara los correos electrónicos a su departamento de abuso: [email protected].
También: La fiebre del oro de la IA hace que la higiene básica de seguridad de datos sea crítica
Oh, y ese centro de llamadas de PayPal estaba ubicado en India y sonaba exactamente como el falso, con un número 888 igualmente legítimo. Ten cuidado, gente.
¿Has estado a punto de ser víctima de un ataque de phishing muy elaborado? Comenta y avísame.
