sec

Phishing, lo que debes conocer

El phishing es el robo de información personal y/o financiera, mediante la falsificación de elementos electrónicos de confianza para hacerte creer que ingresas tus datos en un sitio seguro cuando, en realidad, los datos son enviados directamente a un atacante. Este tipo de ataques se valen de técnicas de ingeniería social para engañar, manipular a los usuarios para que brinden su información privada.

Para dar una idea general sobre lo que un atacante busca, se conocen tres vertientes principales con sus temas específicos. Esta lista se realiza a partir de la información más sensible que una persona pueda poseer, aunque no se debe olvidar la naturaleza del phishing donde cada objetivo es distinto y tener en cuenta siempre que toda información es valiosa.

  • Información personal: direcciones de correo electrónico, números de documentos de identificación personal, datos de localización, etc.
  • Información financiera: números de tarjetas de créditos, números de cuentas bancarias, información bancaria del mismo usuario objetivo o sobre e-commerce
  • Credenciales de acceso: lo que normalmente buscan son: redes sociales, cuentas de correo electrónico, acceso a sitios web y acceso a redes privadas.

Dicho anteriormente, toda información es valiosa para este tipo de atacantes, para esto se valen de distintos medios para propagar su campaña de ingeniería social, de los cuales los principales medios utilizados son:

  • Correo electrónico
  • Redes sociales
  • Mensajes de texto
  • Llamadas telefónicas
  • Infección de computadoras mediante software malicioso

El proceso para llevar a cabo este tipo de ataque se reduce a cuatro pasos básicos; no todos van por el mismo lugar ya que al ser un ataque totalmente dirigido hacia una persona o algún tipo de información, este dependerá de la creatividad del atacante y la forma de tratar de obtener la información que busca. Los cuatro pasos básicos que utilizan son:

  1. Falsificación de entidad de confianza
  2. Envío de mensajes por algún medio de propagación
  3. Usuarios confían y caen en la trampa del mensaje que se envío
  4. Los usuarios acceden al sitio false de la trampa y otorgan sus datos personales sin saber que se los están roban

Las consecuencias de caer en un engaño de phishing van desde el simple envío de publicidad hasta el robo directo de dinero en la cuenta bancaria; ninguno menos consecuente que el otro ya que el envío de publicidad lleva a la venta de datos personales escalando hasta una posible suplantación de identidad; un caso conocido sobre esto, es el de una chica que visitó un edificio donde para ingresar al recinto le solicitaron dejar una identificación oficial (INE) y al reclamarla de vuelta a su salida, la persona encarga de recepción perdió la identificación, esto llevo a consecuencias tan grandes como una deuda de más de 100,000 MXN con un banco, resultado de la suplantación de la identidad de la chica y de personas maliciosas que aprovecharon la oportunidad de hacer mal uso de su información. A esto también se suma el robo directo de dinero sobre alguna cuenta bancaria, el uso indebido de alguna tarjeta de crédito, caer en alguna estafa e incluso muchos casos de extorsión tienen su origen o se originan a partir del phishing.

Los elementos principales para poder identificar un email, sitio web o mensaje de phishing son los siguientes.

  • Mensajes de remitentes desconocidos
  • Mensajes con muchos destinatarios desconocidos (actualmente está un poco invalidado el tema ya que el uso de las nuevas tecnologías da la facilidad de ocultar a los demás destinatarios, pero siempre puede existir algún error y dejar esta falta visible)
  • Asunto del mensaje trata de temas inusuales a lo común
  • A veces el link adjunto en el correo electrónico o mensaje no coincide con el link del navegador web o con el del sitio oficial
  • Incluye acciones o pasos muy específicos a realizar
  • Suele contener errores de ortografía

En el caso de los sitios web, estos suelen ser muy asemejados al real dando una idea de que se trata de la página web legítima de quien se dice ser, pero estos suelen tener ciertas fallas en su contenido y se pueden revisar poniendo un poco de atención en lo siguiente

  • El identificador del candado de certificado de seguridad está totalmente omitido, no existe
  • El protocolo de comunicación no siempre es HTTPS, por lo general va de la mano con el certificado de seguridad por lo que si el candadito no existe, ten por seguro que este protocolo tampoco está habilitado
  • Verificar la URL, aquí se necesita tener especial atención en las letras del link, a veces suelen cambiarlas para verse similares al original
  • Pide datos de acceso fuera de lo usual
  • En enlaces acortados poner el mouse encima para verificar la dirección de la web

Aunque el consejo principal para cuidarnos del phishing es dudar siempre de todo lo que nos llega por correos, mensajes o incluso de acceder a cualquier sitio web, siempre es bueno tener en cuenta estos puntos

  • No entregar datos por correo electrónico. Las empresas y bancos jamás te solicitaran tus datos por correo electrónico.
  • Si se llega a dudar de la fidelidad, nunca hacer click en un link incluido
  • No responder a un email con las características vistas en la identificación de correos maliciosos
  • Si aún se desea ingresar al link adjunto del correo, no des click, sino escribe directamente la dirección del enlace en el navegador (se suelen esconder las URL en el texto que se envía)
  • Si se duda de la veracidad, llamar o acudir a la institución para verificar los hechos
  • Si se sospecha que se fue víctima de phishing:
    • cambiar las contraseñas
    • revisar los movimientos de su cuenta bancaria de manera constante

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s