El phishing, la moda que nunca pasa

Presentamos un artículo muy interesante publicado por OSI, la Oficina de Seguridad del Internauta. Donde conocemos las metodologías del phishing.
Los ciberdelincuentes siempre están intentando obtener información personal y datos bancarios de los usuarios. Una de las técnicas de moda es el phishing. A continuación te mostramos qué es y cómo identificarlo.
Internet es una gran fuente de información y sus servicios como el correo electrónico, banca online, redes sociales, etc. elementos de interés para los ciberamigos del ajeno. Uno de los principales métodos utilizados por los ciberdelincuentes para robar información es el phishing. Este anglicismo no te resultará extraño, ya que hemos hablado de él muchas veces, pero si todavía no sabes lo que es no te preocupes, en este artículo te contaremos qué es y cómo puedes identificarlo para no caer en la trampa .

El “concepto”

Se trata de una técnica utilizada por los ciberdelincuentes para obtener información personal y bancaria de los usuarios suplantando a una entidad legítima cómo puede ser un banco, una red social, una entidad pública…
El phishing más común es lo que se propaga a través del correo electrónico, aunque los ciberdelincuentes pueden utilizar otros canales para propagar su timo como son las redes sociales, aplicaciones de mensajería instantánea SMS.
Independientemente del medio utilizado, el objetivo final siempre es obtener información confidencial: nombres y apellidos, direcciones de correo electrónico, números de identificación personal, número de tarjeta de crédito, etc. Para obtener esta información los ciberdelincuentes generalmente se valen de la ingeniería social y deun enlace que redirige al usuario a una página web fraudulenta que simula ser la web legítima, en algunas ocasiones pueden utilizar documentos adjuntos para perpetrar el hurto de datos.

La "estrategia"

Estos mensajes fraudulentos utilizan todo tipo de argucias para engañar a la víctima y forzar a ésta en tomar una decisión rápidamente o las consecuencias serán negativas como es, por ejemplo, la denegación de un servicio o la pérdida de un regalo o promoción. Las técnicas más utilizadas son:

  • Problemas de carácter técnico de la entidad a la que suplanten.
  • Problemas de seguridad y privacidad en la cuenta del usuario.
  • Recomendaciones de seguridad para evitar fraudes.
  • Cambios en la política de seguridad de la entidad.
  • Promoción de nuevos productos.
  • Vales descuento, premios o regalos.
  • Inminente cese o desactivación del servicio.

Una característica destacable en muchos de los mensajes de phishing es que suelen contener faltas de ortografía y errores gramaticales. Esto se debe a que los mensajes son creados por herramientas automatizadas que utilizan funcionalidades de traducción y diccionarios de sinónimos con los que varían los mensajes para que no sean siempre iguales.

El “propósito”

Bancos y cajas

Excusa: actividad anómala en su cuenta, mejoras en las medidas de seguridad, bloqueo de la cuenta por motivos de seguridad, cambio en la normativa del banco, cierre incorrecto de sesión, etc.
Objetivo: obtener información bancaria como son los números de tarjeta de crédito, tarjetas de coordenadas, claves de acceso a banca online, número PIN, etc.

SMS falso suplantando en Bankia

SMS falso suplamentante en Bankia

Pasarelas electrónicas de pago (PayPal, Visa, MasterCard, etc.)

Excusa: muy similares a las utilizadas para suplantar bancos y cajas. Cambio en la normativa del servicio, cierre incorrecto de sesión, mejoras en las medidas de seguridad, detectada actividad anómala, cancelación del servicio, etc.
Objetivo: robar información bancaria y claves de acceso con la que les ciberdelincuentes obtengan un beneficio económico.

Correo fraudulento suplantando a MasterCard con un archivo adjunto

Correo fraudulento suplantante en MasterCard con un archivo adjunto

Redes sociales (Facebook, Twitter, Instagram, Linkedin, etc.)

Excusa: alguien te ha enviado un mensaje privado, se ha detectado actividad anómala en tu cuenta, por motivos de seguridad es necesario que verifiques las claves de acceso, etc.
Objetivo: robar cuentas de usuario para obtener información personal, suplantación de identidad.

Phishing en Twitter

Phishing en Twitter

Páginas webs de compra/venta y subastas

Excusa: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.
Objetivo: robar cuentas de usuarios y estafarlos económicamente.

Phishing en Amazon

Phishing en Amazon

Juegos online

Excusa: fallos de seguridad en la plataforma, tareas de mantenimiento, actividad anómala detectada en la cuenta del usuario.
Objetivo: robar cuentas de usuario con el fin de obtener datos personales e información bancaria, suplantar la identidad del usuario o pedir un rescate por cuenta.

Phishing en World of Warcraft (WoW)

Phishing en World of Warcraft (WoW)

Soporte técnico y ayuda de grandes empresas (Outlook, Yahoo!, Apple, Gmail, etc.)

Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.
Objetivo: robar cuentas e información personal del usuario.

Phishing en Apple

Phishing en Apple

Servicios públicos

Excusa: informar sobre una notificación, multa, paquete no entregado, reembolso económico, etc.
Objetivo: infectar el dispositivo del usuario con malware, robarle datos personales e información bancaria.

Phishing en la Agencia Tributaria

Phishing en la Agencia Tributaria

Servicios de almacenamiento en la nube

Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.
Objetivo: obtener credenciales de acceso al servicio para robar información privada del usuario.

Phishing en Google Docs

Phishing en Google Docs

Servicios de mensajería

Excusa: el paquete no ha podido ser entregado al cliente, paquete a la espera de ser recogido, información sobre el seguimiento de un paquete.
Objetivo: infectar equipos con malware, robar información personal así como datos bancarios del usuario.

Phishing en DHL

Phishing en DHL

Falsas ofertas de trabajo

Excusa: ofrecer posiciones de trabajo
Objetivo: robar información personal, información bancaria y dinero.

Oferta falsa de empleo

Oferta de trabajo falso

Vale de descuento

Excusa: regalar al usuario un vale descuento, cupón o premio.
Objetivo: obtener información personal del usuario, suscribirlo a listas de publicidad por email oa servicios de SMS Premium, invitarle a descargar aplicaciones, instarle a llamar a números de tarificación especial, instalar malware en su dispositivo.

Vale descuento fraudulento en Mercadona

Vale de descompre falso en Mercadona

La "protección"

Afortunadamente, los servicios de correo electrónico más usados (Gmail, Outlook, Yahoo!, etc.) cuentan con sistemas antispam con los que protegen a sus usuarios de la mayoría de ataques de phishing, pero esto sólo es válido para el correo.
Entre las medidas de seguridad que podemos aplicar es configurar la opción antiphishing que incorporan los navegadores la cual avisa al usuario cuando está intentando acceder a un sitio web identificado como fraudulento. Las distintas opciones antiphishing que incorporan los navegadores más usados son:

  • El Filtro SmartScreen deInternet Explorer.
  • Protección contra el Malware y el Phishingen en Firefox.
  • Protección contra phishing y software malicioso en Google Chrome.
  • Protección contra la suplantación de identidad (phishing) en Safari.

La legitimidad de un sitio web: esencial para evitar estafas.

La mayoría de los ataques de phishing imitan a entidades oficiales o empresas reconocidas como Apple, Google, Facebook, Bancos, etc. Estas empresas por norma general cuentan con un certificado digital que identifica a la organización.
Puede darse el caso de que la organización a la que suplantan no disponga de un certificado digital en ciertas partes de la web. En estos casos, siempre recomendamos a los usuarios que si deben introducir datos de carácter personal o bancario lo hagan únicamente en páginas en las que se pueda identificar a la identidad que representan por un certificado.

¿Qué debes hacer si detectas un phishing o tienes dudas con una web?

  1. No facilites la información que te solicitan. En caso de duda consulta directamente a la empresa o servicio que representa o ponte en contacto con nosotros para hacernos llegar tu consulta.
  2. En ningún caso, NUNCA contestes estos correos.
  3. No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento adjunto.
  4. Elimínalo y, si lo deseas, alerta a tus contactos sobre ese fraude.

Ahora que ya conoces el “concepto”, el “propósito” y la “protección” sólo hace falta que apliques ese conocimiento a tus acciones diarias con el fin de evitar caer en este tipo de amenaza.

Imagen de Infordisa

Infordisa

Departamento de Marketing

Deja una comentario

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Publicar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.
Compartir:

/ Newsletter

Recibe las nuevas publicaciones de este blog por email.
Suscríbete para estar informado.

Suscríbeme

Otros temas que te pueden interesar

Publicaciones relacionadas:

Publicaciones SOC.infordisa

Últimas publicaciones del Blog:

Últimos feeds en Instagram:

/ Managed SOC

Motivos para contratar la
seguridad gestionada

Infórmate

Autodiagnóstico
de ciberseguridad

Realiza tu test
Recursos que te pueden interesar: