El phishing hace referencia al envío de correos electrónicos que aparentemente proviene de remitentes de confianza (como bancos, compañías de energía etc.) pero que en realidad pretenden manipular al receptor para robar información confidencial.
Este correo electrónico incluye enlaces a un sitio web preparado por los ciberatacantes, que imita al de la empresa legítima, y en el que se invita a la víctima a introducir sus datos personales. Por eso siempre es recomendable acceder a las páginas web escribiendo la dirección directamente en el navegador.
Además los criminales utilizan ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.
Cómo reconocer un mensaje de phishing
- Las empresas normalmente no piden datos personales por correo electrónico, esto ya nos debe poner en guardia.
- Si sospechas que un mensaje de correo electrónico es un fraude, no abra los enlaces o datos adjuntos. En su lugar, pasa el ratón sobre el enlace, pero no hagas clic en él, para ver si la dirección coincide con el enlace escrito en el mensaje.
Sugerencia: En Android, presiona el enlace durante mucho tiempo para obtener una página de propiedades que revelará el verdadero destino del enlace. En iOS, haz lo que Apple denomina “Light, long-press”.
- Los errores, incoherencias o faltas de ortografía son un indicio claro de estafa.
- Sé precavido en las operaciones desde tu móvil, ya que los atacantes aprovechan la reducida visibilidad de las pantallas más pequeñas y de menores medidas de seguridad.
- Si recibes comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.
- Llamada urgente a la acción o amenazas: sospecha de los correos electrónicos que afirman que debes hacer clic, llamar o abrir un archivo adjunto de inmediato.
- Si el correo electrónico dice ser de una empresa de confianza, como tu banco, pero el correo electrónico se envía desde otro dominio de correo electrónico como Gmail.
Cómo protegerse contra el Phishing
- No hagas clic en ningún enlace. Realiza las verificaciones pertinentes en tu espacio personal de cliente, acudiendo directamente desde la Url del navegador.
- Mantén tu equipo actualizado y con un antivirus profesional.
- Introduce tus datos confidenciales sólo en sitios web seguros. Para que un sitio se pueda considerar como ‘seguro’, el primer paso es que empiece por “https://”, lo que implica que sigue el protocolo de transferencia de hipertexto, y que el navegador muestre el icono de un candado cerrado.
- Revisa periódicamente tus cuentas. Nunca está de más revisar facturas y cuentas bancarias cada cierto tiempo para estar al tanto de cualquier irregularidad en las transacciones.
- No hagas pública tu dirección en la web.
- Cuidado dónde te registras.
- Evita redes inseguras.
-
Crea contraseñas fuertes y seguras.
-
Realiza copias de seguridad online.
¿Cuáles son los distintos tipos de estafa por email?
- Phishing por correo electrónico: estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados con malware.
- Phishing por sitio web: los sitios web de phishing, también conocidos como sitios falsificados, son copias falsas de sitios web que conoces y en los que confías. Los hackers crean estos sitios para engañarlo de modo que introduzca sus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a sus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.
- Vishing: el atacante intenta convencer por teléfono a las víctimas para que revelen información personal que pueda utilizarse más adelante para el robo de identidad.
- Smishing: el smishing es phishing mediante SMS. Mediante un mensaje de texto piden que hagas clic en un enlace o descargues una aplicación. Sin embargo, a hacerlo se descarga en tu teléfono un malware que puede captar tu información personal y enviarla al atacante.
- Phishing por redes sociales: algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a tus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
- Bombing consiste en un ataque en el que se envían una gran cantidad de e-mails a nuestra dirección para saturar el servidor.
- Spoofing, o correo de suplantación de identidad, es una técnica empleada en los ataques de spam y de phishing para hacerle pensar a un usuario que un mensaje proviene de una persona o entidad que conocen o en la que confían. En estos casos, el remitente falsifica los encabezados del correo electrónico para que el software cliente muestre la dirección de remitente fraudulenta, que la mayoría de los usuarios acepta tal como la ven.
- QRishing: se trata de códigos QR modificados de forma maliciosa. De esta manera, cuando lees este código mediante tu teléfono móvil, automáticamente es infectado por el malware al que lleva el QR. De esta manera, los ciberdelincuentes pueden acceder a tus datos.
- La suplantación de la identidadconsiste en que el usuario recibe un correo de una persona o entidad confiable y realiza confiadamente las acciones que estas le proponen, principalmente realizar transferencias económicas. Así surgen los casos del llamado fraude del CEO o whaling (un supuesto directivo que propone realizar un pago) y de phishing (se recibe una email con la imagen corporativa muy similar a la de una empresa con la que se suela contactar en el que se solicita acceder a una web para hacer un pago).
- Denegación de servicio DDoS. A través de la descarga de archivos adjuntos o simplemente la apertura del email lanzan virus y malwares capaces de bloquear los sistemas y las webs corporativas o cifrar datos críticos.
- Spam o correo basura no es solo incómodo y molesto. Los piratas informáticos utilizan este tipo de e-mails para colar enlaces maliciosos que lleven a sitios controlados por los atacantes.
Si quieres iniciarte en el mundo del hacking ético, ponte en contacto con nosotros.