El secuestro manual de cuentas ocasiona más problemas y pérdidas económicas al usuario víctima.
El secuestro manual de cuentas es un ataque a víctimas seleccionadas para obtener dinero de los datos personales o contactos de la víctima. El ataque se realiza de forma manual en lugar de hacerlo de forma automatizada. Por ello el secuestro manual de cuentas es un ataque poco frecuente, 9 incidentes por millón de usuarios por día, aunque sí es más severo. De acuerdo con un estudio de Google el secuestro manual de cuentas es mucho más peligroso que el que se hace de forma automatizada.
Las cuentas en línea son recursos valiosos que motivan a los delincuentes para robarlas o secuestrarlas. El secuestro manual de cuentas es un ataque dirigido a un usuario específico que ocasiona más problemas y pérdidas económicas al usuario víctima. El o los atacantes utilizan un tiempo considerable para explotar la cuenta del usuario víctima y ocasionarle pérdidas financieras.
El secuestro manual de cuentas empieza con la adquisición de las credenciales del usuario víctima. El vector de ataque utilizado por el secuestrador es el phishing vía correo electrónico para engañar a las víctimas o llevarlas a las páginas web falsas. El phishing utiliza menos infraestructura que operar una botnet y permite al atacante dirigirse a víctimas específicas, especialmente a los contactos de la víctima.
De acuerdo con el estudio de Google el 13.7% de visitantes a sitios web falsos completan el formulario de datos. A nivel de página individual 45% tiene éxito para engañar a los visitantes.
Una vez obtenidas las credenciales de la víctima, el secuestrador accede a la cuenta, evalúa su valor, la explota, y hace esfuerzos para retrasar la recuperación de la cuenta por el usuario; esto con el fin de aumentar las oportunidades de explotación exitosa.
En este sentido el estudio encontró que se accede al 20% de las cuentas secuestradas dentro de los primeros 30 minutos después del robo de las credenciales. Ya dentro el secuestrador utiliza más de 20 minutos en ella, cambiando la contraseña para bloquear al usuario víctima, buscar otros datos de cuenta (por ejemplo bancarios, redes sociales u otro datos que pueda ser vendido) y para estafar a nuevas víctimas. Luego, el secuestrador envía mensajes de correo electrónico phishing desde la cuenta de la víctima a todos los contactos en su libreta de direcciones. Estos mensajes pueden ser eficaces ya que los contactos no dudarán del remitente del mensaje. Los contactos de la cuenta secuestrada tienen una probabilidad 36 veces mayor de ser víctimas de un secuestro de cuenta.
Para evitar el secuestro manual de cuentas es recomendable utilizar contraseñas fuertes, únicas y cambiarlas periódicamente, así como aprovechar la autenticación de doble factor si el sitio en línea lo ofrece. No sea víctima del phishing, actúe con cautela al recibir mensajes que soliciten datos personales o de inicio de sesión. No haga click en el enlace recibido y en su caso visite el sitio web directamente para revisar si es requerida la actualización de información. Utilizar datos alternos para recuperar la cuenta, como el número telefónico o una dirección de correo electrónico. En el peor de los escenarios, tomar el teléfono y llamar al sitio en línea para reportar el secuestro de la cuenta.