Phishing cat

Presentem un article molt interessant publicat per OSI, l’Oficina de Seguretat de l’Internauta. On coneixem les metodologies del phishing.

Els ciberdelinqüents sempre estan intentant obtenir informació personal i dades bancàries dels usuaris. Una de les tècniques de moda és el phishing. A continuació et vam mostrar què és i com identificar-ho.
Internet és una gran font d’informació i els seus serveis com el correu electrònic, banca online, xarxes socials, etc. elements d’interès per als “ciberamics” de l’aliè. Un dels principals mètodes utilitzats pels ciberdelinqüents per a robar informació és el phishing. Aquest anglicisme no et resultarà estrany, ja que hem parlat d’ell moltes vegades, però si encara no saps el que és no et preocupis, en aquest article t’explicarem què és i com pots identificar-lo per a no caure en el parany.

El “concepte”

Es tracta d’una tècnica utilitzada pels ciberdelinqüents per a obtenir informació personal i bancària dels usuaris suplantant a una entitat legítima com pot ser un banc, una xarxa social, una entitat pública…

El phishing més comú és el que es propaga a través del correu electrònic, encara que els ciberdelinqüents poden utilitzar altres canals per a propagar la seva estafa com són les xarxes socials, aplicacions de missatgeria instantània SMS.

Independentment del mitjà utilitzat, l’objectiu final sempre és obtenir informació confidencial: noms i cognoms, adreces de correu electrònic, números d’identificació personal, número de targeta de crèdit, etc. Per a obtenir aquesta informació els ciberdelinqüents generalment es valen de l’enginyeria social i d’un enllaç que redirigeix a l’usuari a una pàgina web fraudulenta que simula ser la web legítima, en algunes ocasions poden utilitzar documents adjunts per a perpetrar el furt de dades.

L'”estratègia”

Aquests missatges fraudulents utilitzen tot tipus d’argúcies per a enganyar a la víctima i forçar a aquesta a prendre una decisió ràpidament o les conseqüències seran negatives com és, per exemple, la denegació d’un servei o la pèrdua d’un regal o promoció. Les tècniques més utilitzades són:

  • Problemes de caràcter tècnic de l’entitat a la qual suplanten.
  • Problemes de seguretat i privacitat en el compte de l’usuari.
  • Recomanacions de seguretat per a evitar fraus.
  • Canvis en la política de seguretat de l’entitat.
  • Promoció de nous productes.
  • Vals descompte, premis o regals.
  • Imminent cessament o desactivació del servei.

Una característica destacable en molts dels missatges de phishing és que solen contenir faltes d’ortografia i errors gramaticals. Això es deu al fet que els missatges són creats per eines automatitzades que utilitzen funcionalitats de traducció i diccionaris de sinònims amb els quals varien els missatges perquè no siguin sempre iguals.

El “propòsit”

Bancs i cauixes

Excusa: activitat anòmala en el seu compte, millores en les mesures de seguretat, bloqueig del compte per motius de seguretat, canvi en la normativa del banc, tancament incorrecte de sessió, etc.

Objetiu: obtenir informació bancària com són els números de targeta de crèdit, targetes de coordenades, claus d’accés a banca online, numero PIN, etc.

SMS falso suplantando a Bankia

SMS fals suplamentant a Bankia

Passarel·les electròniques de pagament (PayPal, Visa, MasterCard, etc.)

Excusa: molt similars a les utilitzades per a suplantar bancs i caixes. Canvi en la normativa del servei, tancament incorrecte de sessió, millores en les mesures de seguretat, detectada activitat anòmala, cancel·lació del servei, etc.

Objectiu: robar informació bancària i claus d’accés amb la qual els ciberdelincuentes obtinguin un benefici econòmic.

Correo fraudulento suplantando a MasterCard con un archivo adjunto

Correu fraudulent suplantant a MasterCard amb un arxiu adjunt

Xarxes socials (Facebook, Twitter, Instagram, Linkedin, etc.)

Excusa: algú t’ha enviat un missatge privat, s’ha detectat activitat anòmala en el compte, per motius de seguretat és necessari que verifiquis les claus d’accés, etc.

Objectiu: robar comptes d’usuari per a obtenir informació personal, suplantació d’identitat.

Phishing a Twitter

Phishing a Twitter

Pàgines webs de compra/venda i subhastes

Excusa: problemes en el compte de l’usuari, detectats moviments sospitosos, actualització de les condicions de l’ús del servei, etc.

Objectiu: robar comptes d’usuaris i estafar-los econòmicament.

Phishing a Amazon

Phishing a Amazon

Jocs online

Excusa: fallades de seguretat en la plataforma, tasques de manteniment, activitat anòmala detectada en el compte de l’usuari.

Objectiu: robar comptes d’usuari amb la finalitat d’obtenir dades personals i informació bancària, suplantar la identitat de l’usuari o demanar un rescat pel compte.

Phishing a World of Warcraft (WoW)

Phishing a World of Warcraft (WoW)

Suport tècnic i ajuda de grans empreses (Outlook, Yahoo!, Apple, Gmail, etc.)

Excusa: tasques de manteniment, eliminació de comptes inactius, detectada activitat sospitosa en el compte de l’usuari, s’ha superat el límit de capacitat del servei, etc.

Objectiu: robar comptes i informació personal de l’usuari.

Phishing a Apple

Phishing a Apple

Serveis públics

Excusa: informar sobre una notificació, multa, paquet no lliurat, reemborsament econòmic, etc.

Objectiu: infectar el dispositiu de l’usuari amb malware, robar-li dades personals i informació bancària.

Phishing a la Agencia Tributaria

Phishing a l’Agència Tributària

Serveis d’emmagatzematge en el núvol

Excusa: tasques de manteniment, eliminació de comptes inactius, detectada activitat sospitosa en el compte de l’usuari, s’ha superat el límit de capacitat del servei, etc.

Objectiu: obtenir credencials d’accés al servei per a robar informació privada de l’usuari.

Phishing a Google Docs

Phishing a Google Docs

Serveis de missatgeria

Excusa: el paquet no ha pogut ser lliurat al client, paquet en espera de ser recollit, informació sobre el seguiment d’un paquet.

Objectiu: infectar equips amb malware, robar informació personal així com dades bancàries de l’usuari.

Phishing a DHL

Phishing a DHL

Falses ofertes de feina

Excusa: oferir posicions de feina

Objectiu: robar informació personal, informació bancària i diners.

Oferta falsa de empleo

Oferta de feina falsa

Val de descompte

Excusa: regalar a l’usuari un val descompte, cupó o premi.

Objectiu: obtenir informació personal de l’usuari, subscriure’l a llistes de publicitat per email o a serveis de SMS Premium, convidar-li a descarregar aplicacions, instar-li a telefonar a números de tarifació especial, instal·lar malwareen el seu dispositiu.

Vale descuento fraudulento a Mercadona

Val de descompre fals a Mercadona

La “protecció”

Afortunadament, els serveis de correu electrònic més usats (Gmail, Outlook, Yahoo!, etc.) compten amb sistemes antispam amb els quals protegeixen als seus usuaris de la majoria d’atacs de phishing, però això només és vàlid per al correu.

Entre les mesures de seguretat que podem aplicar és configurar la opció antiphishing que incorporen els navegadors la qual avisa a l’usuari quan està intentant accedir a un lloc web identificat com a fraudulent. Les diferents opcions antiphishing que incorporen els navegadors més usats són:

  • El Filtre SmartScreen d’Internet Explorer.
  • Protecció contra el Malware i el Phishingen a Firefox.
  • Protecció contra phishing i programari maliciós a Google Chrome.
  • Protecció contra la suplantació d’identitat (phishing) a Safari.

La legitimitat d’un lloc web: essencial per a evitar estafes.

La majoria dels atacs de phishing imiten a entitats oficials o empreses reconegudes com són Apple, Google, Facebook, Bancs, etc. Aquestes empreses per norma general compten amb un certificat digital que identifica l’organització.

Pot donar-se el cas que l’organització a la qual suplanten no disposi d’un certificat digital en certes parts de la web. En aquests casos, sempre recomanem als usuaris que si han d’introduir dades de caràcter personal o bancari ho facin únicament en pàgines a les quals es pugui identificar a la identitat que representen per un certificat.

Què has de fer si detectes un phishing o tens dubtes amb una web?

  1. No facilitis la informació que et sol·liciten. En cas de dubte consulta directament a l’empresa o servei que representa o posa’t en contacte amb nosaltres per fer-nos arribar la teva consulta.
  2. En cap cas, MAI contestis  aquests correus.
  3. No accedeixis als enllaços facilitats en el missatge ni descarreguis cap document adjunt.
  4. Elimina-ho i, si ho desitges, alerta als teus contactes sobre aquest frau.

Ara que ja coneixes el “concepte”, el “propòsit” i la “protecció” només fa falta que apliquis aquest coneixement a les teves accions diaries amb la finalitat d’evitar caure en aquest tipus d’amenaça.

 

SI VOLS LLEGIR L’ARTICLE COMPLET DE OSI, POTS FER-HO A aquí.

 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada