Mensajes subliminares. El Phishing del futuro.

Publicado por buguroo - 22/10/2019

El Phishing es considerado uno de los ciberdelitos más prolíficos que afectan a particulares, empresas y grandes instituciones. Básicamente, consiste en suplantar la identidad de alguien o de una marca/empresa a través de distintos medios de comunicación basados en las nuevas tecnologías de la información.

El objetivo es engañar al destinatario de ese correo para que ofrezca información confidencial con la que posteriormente realizarle una estafa económica. Este ciberdelito se basa en el principal problema que nos ofrece internet, distinguir lo verdadero de lo falso.

En función de los medios de comunicación podemos identificar varios tipos de Phishing:

  • Deceptive Phishing: El usuario recibe un correo electrónico en el que el cibercriminal se hace pasar por una empresa de confianza para obtener información confidencial, generalmente información bancaria con la que robarle dinero. A veces, el correo electrónico incluye un enlace que redirecciona a un sitio malicioso. Puede ser una página clonada cuya URL es prácticamente igual a la del sitio legítimo. Este es el sistema por excelencia porque permite el uso de más elementos para generar el engaño: texto, imágenes, datos…
  • Smishing: El cibercriminal suele hacerse pasar por una empresa de confianza y envía un sms informando al usuario de que ha ganado un premio u ofreciéndole algún tipo de servicio ventajoso. El objetivo es engañar al usuario para que pinche en un enlace o se descargue algún software que finalmente robará su información.
  • Vishing: El cibercriminal usa llamadas de voz haciéndose pasar por algún proveedor, operadora, un centro de soporte, un banco, etc. con el objetivo de recabar cierta información personal con la que luego generar la estafa.

La lucha contra esta tipología delictiva ha comenzado y las empresas dedicadas a la ciberseguridad tratan de generar sistemas Antiphishing con el objetivo de identificar aquellas comunicaciones o sitios webs que puedan ser falsos. Por su parte, los cibercriminales tratan de innovar para que sus correos, sms o llamadas sean cada vez más creíbles para los usuarios y precisamente superen los filtros creados por estos sistemas Antiphishing.

phishing-subliminal-messages-02

Como se ha comentado antes, el phishing se basa en la posibilidad de “clonar la realidad” que nos brinda la red, un espacio virtual alejado de la identificación física que nos permite el “mundo analógico”. Cuando entramos en nuestra sucursal bancaria de toda la vida, estamos seguros de que estamos entrando en nuestro banco real, que el espacio físico y las personas que nos atienden son reales y pertenecen a nuestro banco. Los papeles, la publicidad o el personal de la ventanilla son reconocidos por nosotros como auténticos. Sin embargo, estas certezas desaparecen en el mundo virtual, cuando entramos en nuestra banca online todo cambia. Es cierto que reconocemos los logos, los dominios e incluso la apariencia de la web de nuestro banco, pero ¿podemos estar completamente seguro de que ese lugar es el auténtico?

Por otro lado, el phishing requiere para tener éxito de la participación de la víctima. El usuario que recibe el correo , el sms o la llamada debe ser engañado y persuadido para realizar alguna conducta: ingresar con sus claves a la banca online, pinchar en un link, descargar un archivo… Esto requiere de una serie de estrategias por parte del cibercriminal de las que hemos hablado en otros posts anteriores y que tratan de usar la denominada “ingeniería social” y los procesos de persuasión psicológica para hacer que la víctima “muerda el anzuelo” y lleve a cabo la conducta pretendida por el cibercriminal. Necesitamos influir en la víctima, movilizarla para la acción. Para ello, los cibercriminales deben conseguir inicialmente esta situación de confianza y credibilidad que hace que la persona piense que está leyendo un mail de su entidad bancaria, de su proveedor de internet, su empresa de seguros…A partir de aquí, el phishing trata de generar 2 situaciones:

  • Recompensa: El usuario puede obtener algún beneficio, un premio, dinero, ahorro…Esto genera una emoción de alegría que moviliza a la persona a hacer lo necesario para obtener dicha recompensa.
  • Castigo: El usuario puede sufrir alguna pérdida o daño si no actúa. Su cuenta bancaria puede ser bloqueada, puede perder dinero, suspender su seguro…Esto genera una emoción de miedo que lleva a la persona a actuar para evitar dicho castigo.

Con todos estos elementos, los cibercriminales tienen que esforzarse cada día más innovando en el clonado de webs, simplificando y reduciendo esta interacción necesaria por parte de la víctima y mejorando esta capacidad para movilizar a los usuarios, para motivarlos a actuar si queremos llamarlo así. Es una tarea que, en cierta forma, es muy parecida a las que usan las marcas a través de su marketing para conseguir que los clientes compren sus productos. En este caso, las marcas también buscan generar credibilidad, confianza y requieren poner en marcha los principios de persuasión psicológica de los que hemos hablado en otro post.

detectar-phishing

Es en este sentido donde el fenómeno phishing puede utilizar algunas estrategias derivadas del marketing, la Psicología del consumidor o incluso la publicidad para mejorar sus tasas de éxito. Hay que recordar que, aunque los ataques de phishing suelen ser masivos, cada vez más los cibercriminales deben usar un enfoque de spear phishing que individualice las víctimas y disminuya los falsos positivos que pueden poner en riesgo la campaña de ataque.

Es en esta estrategia de aumentar la movilización de las víctimas donde el phishing puede recurrir a uno de los elementos más controvertidos dentro de la publicidad y el marketing, el uso de mensajes subliminales.

 

En 1957, el publicista James Vicary mostró una curiosa forma de aumentar las ventas de determinados productos, concretamente de coca cola y palomitas de maíz. Para conseguirlo, fue a una sala de cine y durante la proyección de una película, había insertado un fotograma donde se podía leer “come palomitas” y “bebe coca cola”. Este fotograma tenía una característica especial, se presentaba en la pantalla con una duración tal que el espectador podía leerlo sin que fuera consciente de que lo estaba haciendo. Esto es lo que se denomina un mensaje subliminar.

Unos años antes, Shannon y Weaver proponen la Teoría del procesamiento de información, una teoría que sostiene que “el hombre es un procesador de información, cuya actividad fundamental es recibir información, elaborarla y actuar de acuerdo a ella”.  Para ello hay dos tipos de estímulos, los supraliminales, que después de ser percibidos llegan a la corteza cerebral y son procesados conscientemente por el sujeto y los subliminales, que también son percibidos, pero no pasan a ser conscientes para el sujeto. Por decirlo de manera simple, somos conscientes de que percibimos determinada imagen o sonido cuando superan unos límites de intensidad y duración. Los estímulos que no superan estos límites se perciben, pero no somos consciente de ellos. A nivel de procesamiento de la información ambos influyen, es decir, ambos generan respuestas. Se supone que, en el caso de Vicary, su mensaje subliminal hizo que los espectadores que tuvieran sed y hambre compraran coca cola y palomitas de maíz.

Aunque con mucha controversia científica e incluso con prohibiciones en muchos países, los mensajes subliminales son un elemento de marketing muy utilizados en la publicidad. Muchas marcas utilizan en sus anuncios composiciones gráficas o texto de forma subliminal para influir en los usuarios y hacer que este producto sea más reconocido, recordado, apetecible…En cierta forma, el objetivo de esta publicidad “encubierta” es persuadir a los usuarios sin que ellos sean conscientes y piensen que han elegido palomitas de maíz en vez de un perrito caliente por decisión propia.

Ahora bien, ¿qué pasaría si se incluyeran mensajes subliminales en los contenidos de phishing? ¿Podrían contribuir a esa persuasión necesaria de la víctima? Pensemos en el contenido de un mail de phishing o en la interfaz de una web clonada donde podrían insertarse determinado texto o imagen de forma subliminal para potenciar la credibilidad o para influir en los procesos de recompensa o castigo que mencionábamos anteriormente. ¿Puede conseguirse una mayor tasa de clicks en un link usando mensajes subliminales?

phishing-subliminal-messages-01

En este post no vamos a dar más pista a los cibercriminales, pero como proveedores de ciberseguridad debemos tratar de ir un paso por delante de los criminales o al menos a su mismo ritmo para proponer y generar medidas de seguridad. Los mensajes subliminales también pueden desactivarse o eliminar su influencia si conocemos sobre qué actúa. En el caso que hemos expuesto de Vicary, el aumento en la venta de coca cola y palomitas de maíz solo se produjo en aquellos espectadores que tenían sed o hambre durante la película, es decir, aquellos que ya presentaban una necesidad. Si se hubiera proyectado la película después de comer o se les hubiera regalado una Pepsi a cada espectador al entrar a la sala, los mensajes subliminales no hubieran tenido ningún efecto.

En este sentido, los sistemas Antiphishing deben implementar medidas y filtros que también tengan en cuenta estos elementos. Sistemas de bloqueo de descarga automática de imágenes en los correos pueden ser un simple método para evitar que se nos cuele algún mensaje subliminar.

 

 

Temas: Psicología cibercriminal, Cybersecurity, phishing

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Las Fintech también en el radar del malware

read more

Analizando un Malware Bancario Biométrico: Camubot

read more

Mensajes subliminares. El Phishing del futuro.

read more