Phishing: cuando te estafan suplantando la identidad de otros

ciberataque-tecnovirus-comEl phishing es una tipo de engaño que consiste en suplantar la identidad de alguna empresa legítima para robar al usuario información confidencial como, por ejemplo, el número de cuenta bancaria. El término phishing proviene de la palabra inglesa «fishing» (pesca) y se refiere a la distribución masiva de mensajes fraudulentos con la esperanza de que algún usuario desprevenido muerda el anzuelo y proporcione al phisher sus credenciales bancarias. Efectivamente, el principal objetivo del phisher o ciberdelicuente es robarte dinero.

El mecanismo más empleado habitualmente es la generación de correos electrónicos falsos que simulan proceder de una determinada compañía. Dichos correos contienen enlaces que apuntan a una web que imita el aspecto de la empresa legal conocida por el usuario.

En esa web pirata, que en realidad sería una copia de la web original, el phisher solicitaría información confidencial al usuario.

Hasta hace poco los mensajes fraudulentos eran mandados únicamente por correo electrónico, el vehículo tradicional del phishing, pero ahora con la evolución de internet y los móviles que disponen de conexión a la red, las vías de ataque (whatsapp, facebook, telegram etc) se están multiplicando.

Por todo esto en este post queremos darte algunos consejos que te ayudarán a prevenir el phishing.

¿Cómo puedes prevenir los ataques de phishing?

Desconfía de los correos que te ofrecen regalos, trabajos bien remunerados o formas sencillas de conseguir dinero.

  • Verifica la fuente de información de tus correos entrantes. Algunos phishers mandan correos alertando al usuario de que «debido a un fallo en el sistema de seguridad informático su cuenta bancaria ha sido bloqueada». Luego lo invitan a actualizar sus datos bancarios para que así «su cuenta pueda ser desbloqueada». Tu banco nunca te pedirá que le envíes tus claves o datos personales por correo. Nunca respondas a este tipo de preguntas y ante cualquier duda llama directamente a tu banco para aclararlo.
  • Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos. No hagas clic en los hipervínculos o enlaces adjuntados en el correo, ya que te podrían dirigir a una web fraudulenta. Teclea directamente la dirección web en tu navegador o utiliza marcadores/favoritos si quieres ir más rápido.
  • Refuerza la seguridad de tu ordenador. El sentido común y la prudencia son tan indispensables como mantener tu equipo protegido con un buen antivirus que bloquee este tipo de ataques. Además, siempre debes tener actualizado tu sistema operativo y navegadores web.
  • Verifica los indicadores de seguridad del sitio web antes de introducir tu información personal. Asegúrate de que la dirección Web comienza con “https://”, donde la “s” indica que la transmisión de información es “segura”. Algunas empresas como 1and1, se encargan de verificar la seguridad de los sitios web, y en caso de que una web sea segura recibirá un certificado de seguridad por parte de la empresa y aparecerá, en la parte inferior del navegador, un candado cerrado. Haciendo clic sobre este candado, puedes comprobar la validez del certificado digital y obtener información sobre la identidad del sitio web al que has accedido.
  • phishing_licenseRevisa periódicamente tus cuentas. Nunca está de más revisar tus cuentas bancarias de forma periódica, para estar al tanto de cualquier irregularidad en tus transacciones online.
  • Desconfía de los mensajes que no estén escritos en tu idioma. El phishing no conoce fronteras y pueden llegarte ataques en cualquier idioma. Este puede ser otro indicador de que algo no va bien. Si nunca entras a la web de tu banco en inglés, ¿Por qué ahora debe llegarte un comunicado suyo en este idioma?
  • Ante la mínima duda se prudente y no te arriesgues. La mejor forma de acertar siempre es rechazar de forma sistemática cualquier correo electrónico o comunicado que incida en que facilites datos confidenciales. Elimina este tipo de correos.
  • Desconfía de los correos que contengan faltas de ortografía. Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.
  • Para combatir al enemigo hay que conocerlo. Conocer las principales técnicas utilizadas por los phishers puede ayudarte a identificarlos y a evitar de este modo, ser estafado.

Técnicas de phishing

  • La mayoría de los métodos de phishing imitan el formato (logotipos, imágenes etc) de los correos electrónicos enviados por alguna web conocida legal para así lograr que los enlaces fraudulentos incluidos en el correo parezcan rutas legítimas y seguras. La mayor parte de ataques de phishing imitan entidades bancarias, pero también pueden utilizar otras webs populares como anzuelo para robar datos personales, tales como eBay, Facebook, Pay Pal, etc.
  • URLs manipuladas. Por ejemplo en esta URL: http://www.nombredetubanco.com, en la cual el texto mostrado en la pantalla no corresponde con la dirección real de la web de tu banco, sino con una imitación de esta web. Por ejemplo esta url www.lacaixa.es (puedes hacer clic sin peligro) dirige a una web que no corresponde con la web de La Caixa, a pesar de que si escribes esta dirección en el navegador, sí te llevará a la página especificada en el texto de la url.

suplantacion-de-identidad

  • Disfrazar enlaces de direcciones con el carácter arroba @, para posteriormente preguntar el nombre de usuario y contraseña. Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que va a abrir en la página de www.google.com, cuando realmente envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado en los navegadores de Mozilla 14 e Internet Explorer.
  • Otra técnica de phishing utiliza el propio código de la web. El método conocido como Cross Site Scripting consiste en insertar un código malicioso en, por ejemplo, un comentario del foro de la web que no tenga en cuenta este tipo de vulnerabilidad. De esta forma los usuarios que entren en la página donde está el comentario pueden, por ejemplo, ser redirigidos a una web maliciosa.
  • El manejo del Nombre de Dominio Internacionalizado (IDN) en los navegadores. Puede que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras «o» hayan sido reemplazadas por la correspondiente letra griega ómicron, «ο»). El problema de esta técnica (a diferencia de las otras) radica en que es difícil percatarse de que la web pirata no se corresponde con la dirección del navegador.
  • El pharming. Es una de las modalidades más peligrosas del phishing y consiste en explotar una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, para conducir al usuario a una página web falsa. Esta técnica redirige el nombre de dominio de una entidad de confianza a una página web en apariencia idéntica pero que en realidad ha sido creada por el atacante. En lugar de depender por completo de que los usuarios hagan clic en los vínculos engañosos que se incluyen en mensajes de correo electrónico falsos, el pharming redirige a sus víctimas al sitio web falso, incluso si escriben correctamente la dirección web de su banco o de otro servicio en línea en el explorador de Internet.
  • El smishing.  Es un tipo de phishing en el que el ciberdelincuente se hace pasar por alguna entidad conocida y envía un mensaje de texto por SMS, whatsapp o telegram alertando a la víctima de que ha ganado un premio. Comúnmente las víctimas deben responder con algún tipo de código o número especial para validar su falso premio. Luego, generalmente, los estafadores se hacen con las credenciales bancarias del usuario.
Fuente http://www.pandasecurity.com/spain/homeu... https://es.wikipedia.org/wiki/Phishing#T...
⭐ Contenido relacionado
💬 Deja un comentario