PHISHING

PHISHING

¿Qué es el Phishing?

El phishing se refiere al envío de correos electrónicos que tienen la apariencia de proceder de fuentes de confianza (como bancos, compañías de energía etc.) pero que en realidad pretenden manipular al receptor para robar información confidencial. Por eso siempre es recomendable acceder a las páginas web escribiendo la dirección directamente en el navegador.

 Cómo actúa el Phishing

La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico incluye enlaces a un sitio web preparado por los criminales -que imita al de la empresa legítima- y en el que se invita a la víctima a introducir sus datos personales. En este sentido existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers. De hecho, si bien el e-mail continúa siendo el medio más utilizado por los delincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación además: son frecuentes los intentos vía SMS (a veces llamados smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales. Además los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.

Cómo reconocer un mensaje de Phishing

• Es raro que las empresas -ya sean de banca, energía o telecomunicaciones- pidan datos personales vía correo electrónico. El mero hecho de que ocurra debería ponernos en guardia.
• No siempre es fácil reconocer los mensajes de phishing por su apariencia. Sin embargo reproducir de manera fidedigna el formato de una empresa requiere un tiempo y esfuerzo que los criminales no suelen estar dispuestos a invertir. Los errores, incoherencias o faltas de ortografía son un indicio claro. Fíjate también en la dirección del remitente
• Sé precavido en las operaciones desde tu smartphone. La creciente popularidad de los teléfonos inteligentes hace que muchos usuarios realicen muchas de sus gestiones en su móvil. Los criminales lo saben y tratan de aprovecharse de la pérdida de claridad derivada de pantallas más pequeñas y de menores medidas de seguridad.

Cómo protegerse contra el Phishing

1. Después de leer el correo no hagas clic en ningún enlace. Realiza las verificaciones pertinentes en tu espacio personal de cliente, acudiendo directamente desde la Url del navegador.
2. Mejora la seguridad de su ordenador. El sentido común y el buen juicio son tan vitales como mantener tu equipo protegido, pero además, siempre debes tener las actualizaciones más recientes de tu sistema operativo y navegador web.
3. Además, lo ideal es que cuentes con una capa adicional con un antivirus profesional.
4. Introduce tus datos confidenciales sólo en sitios web seguros. Para que un sitio se pueda considerar como ‘seguro’, el primer paso -aunque no el único- es que empiece por "https://", lo que implica que sigue el protocolo de transferencia de hipertexto, y que el navegador muestre el icono de un candado cerrado.
5. Revisa periódicamente tus cuentas. Nunca está de más revisar facturas y cuentas bancarias cada cierto tiempo para estar al tanto de cualquier irregularidad en las transacciones.
6. Ante cualquier duda, no te arriesgues. El mejor consejo ante el phishing es siempre fomentar la prudencia entre todas las personas que forman parte de la organización. Asegurar la autenticidad del contenido ante la más mínima sospecha es la mejor política. 

Cómo protegerte

A menudo las medidas de seguridad tradicionales no bastan para detener estos ataques porque están personalizados de forma muy inteligente. En consecuencia, se están volviendo más difíciles de detectar. El error de un empleado puede tener graves consecuencias para las empresas, los gobiernos e incluso para organizaciones sin ánimo de lucro. Con datos robados, los estafadores pueden revelar información sensible desde el punto de vista comercial, manipular precios de acciones o cometer diversos actos de espionaje. Además, los ataques de spear phishing pueden implementar maleare para secuestrar computadoras y organizarlas en enormes redes llamadas botones, que después se pueden usar para lanzar ataques de denegación de servicio.

Para contrarrestar las estafas de spear phishing, los empleados deben ser conscientes de las amenazas, como la posibilidad de recibir correos electrónicos falsos. Además de la educación, se necesita tecnología centrada en la seguridad del correo electrónico.

Otros artículos y enlaces relacionados con definiciones

¿Qué es un botnet?

Infografía: software vulnerable

• 
  
  ¿Qué es la ingeniería social?
  Ingeniería social e implementación de malware
  Informe de estadísticas de spam y phishing correspondiente al primer trimestre de 2014
  Comprensión del spam y las estafas de phishing
  Consejos sencillos de prevención de phishing para proteger tu identidad y tu bolsillo
  Kaspersky Total Security
  
  

  ¿Qué es phishing y qué tipos existen?

¿Alguna vez has recibido un mensaje de correo electrónico de una empresa fiable y de confianza en el que solicitan tus datos personales? ¿Ese correo incluye un enlace que te lleva a una página web donde tienes que escribirlos? ¡Ojo! Seguramente estés siendo víctima de uno de los ataques cibercriminales más conocidos que se llevan a cabo hoy y que tiene la finalidad de robar el máximo de información privada posible.Este tipo de ataques cibernéticos, conocidos como phishing, son cada vez más habituales y, al ser tan evidentes, muchos usuarios caen fácilmente en la trampa de los hackers.  

Se trata de la modalidad más común de este tipo de ataques. A través del Deceptive phishing, los hackers han llevado a cabo el robo de identidad de una empresa de confianza y le envían al usuario un mensaje de correo electrónico haciéndose pasar por ellos. Los recriminarles actúan como representantes solicitando algún tipo de información personal como los datos de la tarjeta de crédito, etc.

También puede ser que el texto del correo contenga un enlace malicioso que envía al usuario a una página web fraudulenta donde se le solicita los datos de inicio de sesión.

El siguiente es un ataque reciente a los clientes de Carrefour, donde se les pide que activen su tarjeta Pass.

Como ves, parece un correo totalmente real enviado por la compañía en cuestión. Por eso es importante que no accedas a páginas web directamente desde los enlaces que recibes en los mensajes.

Malware-Based Phishing

Se refiere a aquellas estafas que implican la ejecución de un software malicioso en los ordenadores de los usuarios. El malware se puede introducir como archivo adjunto en un correo o como archivo descargable en un sitio web.

DNS-Based Phishing

• Esta modalidad se conoce más como Pharming. Los cibercriminales manipulan los archivos hosts de una empresa o el sistema de nombres de dominio de la misma, para que las solicitudes de URL devuelvan una dirección falsa y las comunicaciones sean dirigidas a un sitio web falso.
• La consecuencia es que los usuarios desconocen que la página web donde están ingresando información confidencial está controlada por estos cibercriminales.

Content-Injection Phishing

Este tipo de ataque describe la situación en la que los cibercriminales reemplazan parte del contenido de un sitio legítimo con contenido falso diseñado para engañar o desviar al usuario a dar su información confidencial.

Search Engine Phishing

Se produce cuando los cibercriminales crean buscadores para redireccionar al usuario a páginas web fraudulentas. Las tienen indexadas legítimamente con los motores de búsqueda y los usuarios las encuentran en una búsqueda normal. Uno de los casos más populares en esta tipología de phishing, fue la sufrida por la entidad bancaria Sabadell. Durante un corto periodo de tiempo aparecieron un par de anuncios de pago en las dos primeras posiciones de los resultados de búsqueda de Google. Pinchando en cualquiera de ellos, el usuario llegaba a una página web fraudulenta que solo se diferenciaba de la oficial en la URL.

Man-in-the-Middle Phishing

Es el tipo de ataque phishing más difícil de detectar, ya que el cibercriminal se posiciona entre el ordenador del usuario y el servidor, grabando, así, la información que se transmite entre ambos. Posteriormente puede vender o utilizar dicha información o credenciales recopiladas cuando el usuario deja de estar activo en el sistema.

Pero, ¿cómo protegerse del phishing?

Proteger tu vida online debe convertirse en una de tus principales prioridades a la hora de navegar por Internet. Y, en el ámbito de las empresas, son muchos los profesionales de IT que trabajan con el objetivo de evitar vulnerabilidades que puedan poner en riesgo sus sistemas.

Los antivirus son esenciales a la hora de proteger tu PC frente a cualquier ataque informático. En el caso de las páginas web, existen un montón de herramientas de seguridad que también mantienen a salvo tu web. Pero también existen muchas otras formas de protegerse que te ayudarán a mantener tus datos y toda tu información confidencial a salvo.

Una de las principales fuentes de phishing es el email. Detectar correos electrónicos falsos te ayudará a detectar y evitar caer en una estafa cibernética. Existen 5 formas de detectarlos casi al instante:

Comprueba el dominio del remitente del correo

El dominio desde el que recibes el correo no corresponde con la empresa a la que están intentado suplantar. En el caso de correos de phishing que intentan suplantar la identidad de PayPal es frecuente encontrar que estos emails proceden de cuentas del tipo . Es decir, juegan con un dominio similar al de la web auténtica, por lo que es muy importante fijarse en la cuenta de correo del remitente.

¿Hay faltas de ortografía o concordancia?

El correo contiene faltas de concordancia o ortografía. Esto se debe a que, muchas veces los correos de phishing se traducen automáticamente y no proceden de una campaña de email real.

Nunca cedas datos personales o información bancaria

Normalmente solicitan información bancaria o datos personales. A través de procesos falsos de verificación de cuenta o actualización de la información intentan que introduzcas información confidencial o contraseñas. Además, siempre incluyen enlaces sospechosos o utilizan textos de máxima alerta para conseguir el “clic”.

El asunto es sospechoso

El asunto del correo es muy alarmante. Necesitan que abras sí o sí el email, así que utilizan asuntos de máxima alerta para conseguirlo. ¿No crees que es bastante sospechoso recibir un correo que ya te indica en el asunto que eres el ganador de un premio de lotería? ¿O que te van a cerrar tu cuenta bancaria mañana si no actualizas tu información?

¿Incluye archivos adjuntos?

Además de enlaces sospechosos, casi todos los emails de phishing incluyen adjuntos para evitar que los gestores de correo los interpreten como spam. En algunas ocasiones estos adjuntos no contienen código malicioso, pero mucha precaución porque no siempre es así. En definitiva, mucho ojo con los emails que recibes ya que puede tratarse de un ataque de phishing. Nunca cedas información confidencial o sensible, datos personales o bancarios, contraseñas y, lo que es peor, si el enlace te parece sospechoso o incluye algún elemento adjunto, ¡ignóralo completamente!