Las redes sociales son un vehículo frecuente y objetivo para estafadores, que lo usan para todo Bancos de suplantador ofreciendo consejos de inversión falsos para extendido de malware a través de videos generados por IA. Una campaña que actualmente circula se dirige a los usuarios de Instagram a través de correos electrónicos de phishing, con un giro.
Cómo funciona el mailto: la estafa de Instagram
MalwareBytes Labs ha identificado un esquema de phishing Eso comienza con un correo electrónico que parece ser de Instagram pidiendo a los usuarios que confirmaran su identidad porque alguien acaba de intentar iniciar sesión en su cuenta. El texto incluye un código de verificación y un enlace para «informar a este usuario para asegurar su cuenta», así como eliminar su dirección de correo electrónico.
Campañas como esta a menudo envían a los usuarios a un sitio web de phishing, donde se les solicita que ingresen sus credenciales u otra información de identificación personal. En algunos casos, los sitios falsos tienen chatbots de soporte técnico o enumeran instrucciones paso a paso para «solucionar» un problema. No importa la táctica, los actores de amenaza están tratando de obtener suficiente información para robar su identidad, su dinero o ambos capitalizando su miedo y sentido de urgencia para asegurar su cuenta.
De lo que es diferente este La estafa de Instagram es lo que sucede cuando hace clic en los enlaces en el correo electrónico. En lugar de un sitio web fraudulento, el texto es un enlace de Mailto: que abre el programa de correo electrónico predeterminado en su dispositivo con un destinatario y línea de asunto prefallado como «Informe a este usuario para asegurar su cuenta» o «eliminar su dirección de correo electrónico de esta cuenta».
Las direcciones de correo electrónico en las líneas del destinatario parecen relativamente confiables, aunque ninguna directa de regreso a Instagram, que es lo que esperarías, gracias a un táctica conocida como tipográfico. Sin embargo, en última instancia, se conectan de nuevo a los servidores administrados por actores de amenaza, y golpear «enviar» al final valida eso su La dirección de correo electrónico está activa y está madura para una mayor orientación.
¿Qué piensas hasta ahora?
Mailto: Phishing es más un juego largo: los estafadores no recopilan su información personal de inmediato, pero pueden usar la conversación para generar confianza, ya que enviar un correo electrónico puede parecer menos riesgoso o obvio para las víctimas que hacer clic en un enlace a un sitio web desconocido e ingresar información allí. MAILTO: Los enlaces pueden evadir los filtros de correo electrónico más fácilmente que los enlaces a dominios maliciosos, y los actores de amenazas no tienen que configurar y mantener múltiples sitios que pueden cerrarse.
Cómo evitar Mailto: estafas de phishing
Al igual que con todas las estafas, debe tener cuidado con los mensajes que parecen urgente y le impulsan a tomar medidas inmediatas, especialmente relacionadas con la seguridad de la cuenta. Las empresas no solicitarán sus credenciales, datos bancarios u otra información confidencial a través de canales de comunicación como correo electrónico, chat o mensaje de redes sociales. Siempre vaya directamente a la aplicación o al sitio web de la compañía para encontrar información de contacto en lugar de interactuar con alguien que lo contactó primero.
En general, debe evitar hacer clic en los enlaces en estos mensajes. Siempre pasee por el enlace para ver el destino: cava: los enlaces no son más legítimos que los de los sitios de phishing.
