Cómo detectar y evitar estafas relacionadas con el COVID-19

Para detener la propagación del coronavirus, millones de personas se quedan en casa, trabajan desde casa, usan máscaras cuando salen y se lavan las manos con frecuencia durante al menos 20 segundos. Desafortunadamente, esas técnicas no lo protegerán contra los estafadores que siguen a raíz de la pandemia mundial de COVID-19. Para eso, necesitará diferentes estrategias para detectar estafas y protegerse antes de que los estafadores puedan atacar.

El IRS da, los estafadores se llevan

En los EE. UU., el gobierno federal ha designado fondos significativos para empresas e individuos afectados por COVID-19. Esto vincula el dinero y el miedo; las dos herramientas principales de los estafadores.

Debido a que el IRS está manejando la dispersión de los pagos de la ley CARES, es seguro asumir que muchos estafadores reciclarán sus estafas fiscales probadas y verdaderas. Al igual que con las estafas de temporada de impuestos (que ahora todavía están en temporada hasta julio), el método de entrega suele ser el más fácil de saber. Con raras excepciones, el gobierno federal se comunica con la población a través de USPS. No recibirá un mensaje de texto, correo electrónico, llamada telefónica y, especialmente, un mensaje de las redes sociales o WhatsApp del IRS solicitando dinero, durante la temporada de presentación de impuestos o de otra manera.

Desde el sitio web del IRS, aquí hay una lista de acciones que la agencia dice que no hará:

-Llame para exigir el pago inmediato mediante un método de pago específico, como una tarjeta de débito prepaga, una tarjeta de regalo o una transferencia bancaria. Generalmente, el IRS primero enviará una factura por correo a cualquier contribuyente que adeude impuestos.

-Exigir que pague impuestos sin la oportunidad de cuestionar o apelar la cantidad que dicen que debe. También debe ser informado de sus derechos como contribuyente.

-Amenazar con traer a la policía local, oficiales de inmigración u otras fuerzas del orden público para que lo arresten por no pagar. El IRS tampoco puede revocar su licencia de conducir, licencias comerciales o estatus migratorio. Amenazas como estas son tácticas comunes que usan los estafadores para engañar a las víctimas para que acepten sus esquemas.

Un tema que atraviesa todas estas tácticas es la urgencia. Los estafadores buscan cortocircuitar su buen juicio al establecer límites de tiempo o consecuencias severas. Los malos pueden afirmar que debes actuar rápidamente para recibir dinero o intimidarte para que actúes rápido para darles dinero. También pueden afirmar que la policía, inmigración o alguna otra amenaza implícita de violencia está involucrada. Todos estos están diseñados para evitar que se tome el tiempo de pensar en lo que se le pregunta y para evitar que verifique los hechos. El desastre rápido y confuso de COVID-19 ha hecho que sea aún más difícil aferrarse a la realidad, lo que funciona en beneficio del estafador.

Si bien las estafas de impuestos son la plantilla más probable para las estafas de pago por coronavirus, el IRS tiene una lista de otras posibles estafas. ¿Uno de los mayores avisos? El IRS real no lo llamará "estímulo" o "rescate". A continuación hay otras cosas a tener en cuenta, del sitio web del IRS.

El IRS les recuerda a los contribuyentes que los estafadores pueden:

-Destacar las palabras "Cheque de Estímulo" o "Pago de Estímulo". El término oficial es pago de impacto económico.

-Pídale al contribuyente que le firme su cheque de pago de impacto económico.

-Solicitar por teléfono, correo electrónico, texto o redes sociales verificación de información personal y/o bancaria diciendo que la información es necesaria para recibir o agilizar su pago de impacto económico.

-Sugerir que pueden obtener un reembolso de impuestos o un pago de impacto económico más rápido trabajando en nombre del contribuyente. Esta estafa podría realizarse a través de las redes sociales o incluso en persona.

-Envíe por correo al contribuyente un cheque falso, tal vez por una cantidad impar, luego dígale al contribuyente que llame a un número o verifique la información en línea para cobrarlo.

Desafortunadamente, ninguna investigación inteligente puede ser suficiente para proteger su pago del IRS. The New York Times informa que, debido a que el IRS requiere tan poca información para secuestrar los cheques de impacto económico, "[...] los delincuentes han utilizado los números de seguridad social, las direcciones de las casas y otra información personal de las personas, gran parte de la cual estaba disponible en línea a partir de datos anteriores. infracciones: asumir sus identidades y estafarlos de sus cheques de estímulo y beneficios de desempleo".

Este tipo de ataque es posible gracias a las innumerables filtraciones de datos de la última década. Las personas que roban los datos no siempre los usan ellos mismos. En su lugar, venden los datos en los mercados de la Dark Web, donde pueden combinarse con otra información robada de otras filtraciones de datos. Eventualmente, un atacante puede acumular la información necesaria para hacerse pasar por usted.

Incluso si está seguro de que el IRS tiene la información necesaria para enviar su pago, tómese un minuto para verificar el estado de su pago en el rastreador oficial del IRS. Eso podría proporcionar una advertencia si un estafador ya se ha fugado con su dinero en efectivo de COVID-19. Asegúrese absolutamente de estar en el sitio web correcto antes de ingresar su información.

Cuidado con los correos electrónicos con regalos

Si bien el IRS ha sido proactivo al advertir contra las estafas de pago de impacto económico, esa podría no ser (todavía) la mayor amenaza. "Teniendo en cuenta la atención que ha recibido la legislación CARES de EE. UU., sería sorprendente que los delincuentes no estuvieran planeando aprovecharse del interés individual y lo que parecen ser requisitos de verificación poco estrictos en nombre del IRS", dijo a PCMag el científico investigador principal de Sophos, Chet Wisniewski. .

"Hasta la fecha, no hemos visto ninguna carga útil de spam o virus que explote esto, pero continuaremos monitoreando la situación y haremos correr la voz si eso cambia".

Eso no significa que no haya estafas peligrosas que utilicen el COVID-19 como tapadera. De hecho, parece que muchos estafadores lo están haciendo. Google informó recientemente que está bloqueando 18 millones de correos electrónicos falsos relacionados con el coronavirus por día. Google dio ejemplos de algunas de las estafas que había bloqueado. Algunos se hacían pasar por gerentes, refiriendo a los empleados a información de trabajo desde casa que en realidad era un enlace malicioso. Otros hicieron referencia a los pagos de impacto económico e instaron a los destinatarios a abrir un archivo malicioso adjunto.

Google recomienda evitar archivos desconocidos o inesperados directamente en su computadora y, en su lugar, utilizar el visor de documentos integrado. La compañía también instó a las personas a mirar con mucho cuidado el dominio del correo electrónico (eso es lo que viene después del signo @ en una dirección de correo electrónico) para asegurarse de que sea legítimo. Hay una gran diferencia entre [email protected] y [email protected]

La empresa de seguridad de correo electrónico GreatHorn puso en contexto la asombrosa suma de correos electrónicos fraudulentos. La investigación de la empresa muestra que, durante la primera quincena de abril, el 2,4 por ciento de los 1.400 millones de correos electrónicos analizados estaban relacionados con el COVID-19. De esos correos electrónicos relacionados con COVID-19, el 36,6 por ciento fueron estafas.

Farmacias falsas y otras estafas

Es más fácil vender un producto falso o phishing con éxito a alguien si su estafa tiene un lugar para vivir. Esa puede ser en parte la razón por la que ha habido un aumento en las URL relacionadas con el coronavirus.

El 20 de abril, la empresa de seguridad Check Point informó que se registraron 68.000 dominios de coronavirus desde enero y 16.989 solo en las dos primeras semanas de abril. De los registrados en abril, se confirmó que el 2 por ciento era malicioso y otro 21 por ciento sospechoso.

Los estafadores pueden usar estas URL para parecer más legítimos. Es más probable que las personas confíen en una URL que aparece relevante que en una cadena aleatoria de letras y números. En particular, Check Point informa que los registros de URL relacionados con el coronavirus fueron 3,5 veces mayores la semana en que se anunciaron los pagos de impacto económico.

Es importante destacar que no todas las URL de coronavirus son peligrosas. Una organización benéfica podría querer una URL relevante para ayudar en la recaudación de fondos. Palo Alto Networks señala que algunos pueden ser simplemente inversiones: nombres relevantes arrebatados rápidamente con la esperanza de venderlos para obtener una ganancia. Eso es turbio pero no ilegal. Más cuestionable fue un grupo de sitios que vendían libros electrónicos sobre coronavirus.

“Encontramos un grupo de sitios web que se basan en los temores ya existentes de las personas sobre el coronavirus y tratamos de asustarlos aún más para que compren su libro electrónico”, escribió Palo Alto Networks en el informe de la compañía. "Primero, reproducen un video inquietante sobre las situaciones y eventos más aterradores relacionados con el coronavirus, luego anuncian el libro como la clave para sobrevivir a esta pandemia". La empresa señala que algunos clientes que compraron el libro se quejaron de que no habían recibido el producto.

¿Qué hay en esas URL verdaderamente peligrosas? En su informe, Palo Alto Networks encontró algunos giros nuevos en viejos clásicos. Algunos sitios simplemente tenían cargas maliciosas, estafas de soporte técnico falso y escaparates diseñados para desviar la información de su tarjeta de crédito. Otros eran más contemporáneos e insidiosos. "Una fracción significativa de ellos se utiliza tanto para actividades maliciosas conocidas como para tiendas fraudulentas que venden artículos escasos".

Algunos sitios pueden tener coronavirus en la URL, pero están vendiendo algo completamente diferente. “Si bien los nombres de dominio sugieren que estas tiendas venden remedios para el coronavirus, principalmente anuncian Viagra y otras drogas no relacionadas con el virus”. Palo Alto Networks señala que los medicamentos comprados en fuentes en línea cuestionables pueden no ser los mismos que los reales y podrían venderse en dosis inseguras.

Recomendado por Nuestros Editores

Los ataques de phishing aumentan un 350 por ciento en medio de la cuarentena de COVID-19

WhatsApp limita el reenvío de mensajes 'virales' para detener la desinformación sobre el COVID-19

¿Nueva cepa de coronavirus? No, solo piratas informáticos que intentan propagar malware

Al tratar de detectar un sitio peligroso, Palo Alto Networks sugiere tener cuidado con los errores gramaticales y las páginas repletas de palabras clave relevantes. ¿Otro cuento? Sitios que carecen de dirección o número de teléfono, pero incluyen un número de WhatsApp.

Confiar pero verificar

Expediente X nos imploraba que "no confiáramos en nadie", pero prefiero el lema de la Guerra Fría "confiar, pero verificar". La paranoia no es útil, pero debe considerar cuidadosamente cualquier información que reciba antes de actuar en consecuencia.

Cómo verificar la información en la era de las noticias falsas es otra cuestión, pero al menos en el ámbito de las estafas del IRS, hay un buen lugar para comenzar: el sitio web oficial del IRS www.irs.gov. Los estafadores pueden proporcionar direcciones de correo electrónico, URL o números de teléfono en sus mensajes. No los use a menos que pueda compararlos exactamente con la información de contacto en el sitio web del IRS. Si los estafadores afirman ser de otra agencia o banco, busque el sitio web oficial de esa organización y verifique la información de contacto. Si no coincide, comuníquese a través de los canales oficiales de todos modos. De esa manera, puede estar seguro de que está en lo correcto y denunciar el intento de phishing.

Si se encuentra en el extremo receptor de una estafa de pago de impacto económico, el IRS tiene un proceso completo para denunciarlo y recursos disponibles para ayudarlo a identificar una estafa. También puede comunicarse con la agencia por teléfono, aunque me imagino que los tiempos de espera por el doble golpe de COVID-19 y la temporada extendida de presentación de impuestos serán extensos. Recomiendo poner el teléfono en modo altavoz, comprar algunos bocadillos y ver Netflix mientras espera.

Todo esto es cierto para otros esquemas relacionados con el coronavirus. Si recibe correos electrónicos o mensajes de texto inesperados con llamados a la acción o archivos adjuntos, tenga mucho cuidado. Si es de alguien que conoce, comuníquese con él a través de un método diferente y verifique que lo que recibió sea legítimo.

Tenga en cuenta que los estafadores son muy buenos para elegir direcciones URL que parecen legítimas y aún mejores para crear sitios de phishing convincentes. En mi trabajo probando la protección antiphishing de varios productos, he usado sitios de phishing reales y activos. Algunos de ellos son ridículamente malos, pero muchos son aterradoramente precisos. Busque HTTPS al comienzo de la URL o un icono de candado junto a la URL. Esto no es infalible, pero es un comienzo. Luego mira el resto de la URL. ¿Hay faltas de ortografía? ¿Hay varios puntos en el nombre de dominio que hacen que .com se parezca más a .com.au.ru? Todos estos son signos de que el sitio no está en alza. Para obtener más información sobre cómo eludir este tipo particular de amenaza, lea Cómo evitar las estafas de phishing.

Los estafadores intentarán evitar que verifique información básica, generalmente con amenazas o plazos frenéticos. Para las estafas relacionadas con el IRS, esta es una gran señal de alerta, ya que el gobierno de EE. UU. se mueve a un ritmo geológico. Esto también es cierto para la mayoría de las instituciones financieras, acreedores, etc. Si recibe una comunicación de cualquier autoridad o agencia exigiendo una acción inmediata, responda con sospecha inmediata.

Aplique esta misma táctica en otros contextos también. Un estafador querrá que actúes primero y pienses después, ya sea que hagas clic en un enlace malicioso o compres una cura falsa para el coronavirus. Siempre vale la pena tomarse el tiempo adicional para validar las reclamaciones que recibe, incluso si toma tiempo adicional debido a la confusión y el estrés emocional provocado por esta pandemia.

Preparate para lo peor

La pandemia de coronavirus es un desastre global diferente a cualquier cosa en la historia reciente. Por lo tanto, no es razonable esperar que usted tome las mejores decisiones. Mantenerse alerta contra los estafadores requiere un pensamiento sereno que escasea en un momento de devastación, información errónea y mensajes contradictorios de los gobiernos. Sé generoso contigo mismo cuando cometas errores.

Es importante que asuma que cometerá errores, así que tome precauciones contra esos errores. En primer lugar, escuche los mensajes de advertencia. Su navegador y muchas plataformas de correo electrónico tienen protecciones de phishing incorporadas y la mayoría hace un gran trabajo. Si ve una advertencia emergente que dice que un sitio o archivo adjunto es peligroso, y sabe que la advertencia es real, preste atención.

En la computadora de su hogar, instale un software antivirus y manténgalo actualizado. Hemos revisado muchos productos dignos para máquinas Windows y Mac. También hay opciones gratuitas. Incluso si es excelente para detectar peligros en línea, el software de seguridad está ahí como respaldo. También puede hacer un mejor trabajo al detener una nueva amenaza antes de que pueda causar daños.

Gran parte de la actividad fraudulenta está orientada a la apropiación de cuentas. Puede protegerse contra los malos que se enganchan en sus cuentas en línea usando una contraseña única y compleja para todos y cada uno de los sitios web y servicios que usa. Si reutiliza contraseñas en diferentes sitios, un sitio comprometido podría significar que un atacante obtiene acceso a todos los demás sitios donde reutilizó la contraseña. Un administrador de contraseñas puede generar y reproducir contraseñas seguras, quitándole la carga de encima. También recomiendo usar un administrador de contraseñas que sincronice sus inicios de sesión entre dispositivos, aunque su confianza en la nube puede variar de la mía.

Finalmente, habilite la autenticación de dos factores en cualquier sitio o servicio que la ofrezca. Esto permite pasos adicionales en el proceso de inicio de sesión que hacen que sea infinitamente más difícil secuestrar la cuenta, incluso cuando el malhechor tiene un nombre de usuario y una contraseña válidos. Puede optar por una aplicación gratuita para que sirva como su autenticador, una clave de hardware o algún otro esquema. Evite la autenticación por SMS, pero lo hará en un apuro.

En los últimos dos meses, todos aprendimos algunas habilidades nuevas simples pero críticas: cómo hacer una máscara con una camiseta vieja, cómo contar 20 segundos de lavado de manos y cómo observar seis pies de distancia social, por nombrar unos cuantos. Puede evitar otro lote completo de amenazas de COVID-19 simplemente aprendiendo las habilidades de seguridad digital necesarias para detectar estafas, habilidades que también le serán útiles después de la pandemia.