El phishing es un método por el cual se busca obtener información personal o privada de un usuario mediante sitios web ficticios, correos electronicos falsos u otros mensajes. La información obtenida se usa habitualmente con fines ilegales. El término procede de la palabra en ingles «Pesca» y hace referencia al cebo que se usa para pescar, en este caso con fines informáticos.
Métodos de Phishing en los ataques
Algunas de las formas más habituales mediantes las que se camufla esta práctica son las siguientes:
- Correo electrónico
Mediantes la redacción de correos electrónicos que a simple vista pueden parecer verídicos, como por ejemplo un comunicado del estado o una factura, se vincula al usuario a direcciones invisibles falsificadas aunque el sitio web original se haya mostrado en el texto del enlace. Normalmente se falsifica la dirección de correo electrónico del remitente para que sea más similar a la original.
- Sitios web
En este caso el sitio web será difícil de identificar como un fraude debido a que estos suelen caracterizarse por el hecho de que los nombres y denominaciones que se utilizan son muy similares o practicamente iguales a los de la empresa imitada. Generalmente hacen estas imitaciones del dominio original usando las mismas letras con pequeñas variaciones (a como A mayúscula, P como p minúscula…). Esto hace que de forma inconsciente el usuario piense que está visitando el sitio web original, pero la verdad es que está dirigido a uno falso el cual tiene como objetivo recoger información de manera ilícita del usuario.
- SMS
Puede darse el caso de recibir una confirmación de un contrato de cualquier tipo mediante SMS, ofreciendo en el mismo la opción de no participar mediante un enlace en el que se pide que el usuario haga clic, a través de esta visita, se libera el malware.
Protección
Ya que en los mensajes de correo electrónico habitualmente suelen utilizar HTML o scripts, basta con desactivarlo para no recibir este tipo de spam y así protegerte contra este tipo de ataques. También existe antivirus como los que ofrece Kaspersky, muy recomendados y útiles para derectar corresos de phishing
Cada vez están más presentes en las instituciones financieras los certificados SSL con Extended Validation, que permiten abrir un campo adicional en la línea de dirección, indicando alternativamente el titular del dominio y el organismo de certificación. La barra de direcciones a veces se muestra en verde, para dirigir el ojo del usuario a ella, para asegurarse de que es correcta. También existen otros programas que pueden reconocer este tipo de correos fraude basándose en criterios típicos, igual menos eficaces pero siguen siento de utilidad. Otro medio utilizado por la banca online es el proceso HBCI que protege mediante el uso de una firma mediante tarjeta inteligente, este tipo de transacciones bancarias prescinde de la introducción de TANs. Además, también se puede aplicar el método iTAN, sin embargo, esto es ineficaz contra los ataques del man-in-the-middle.
Consecuencias
Un ciberataque mediante la práctica del phishing puede llegar a tener consecuencias realmente devastadoras, pudiendo cargar a la cuenta del interesado o celebrar contratos al nombre del usuario, incluso existe la posibilidad de un hurto de la identidad del usuario para realizar actividades delictivas en su nombre.
A continuación vamos a dar unos consejos a seguir para evitar ser víctima de fraudes tipo phishing:
- No abrir correos de usuarios desconocidos o que no se hayan solicitado, es importante hacer caso omiso, ya que si recibimos este tipo de correo es crucial que seamos consciente de ello para poder tomar cartas en el asunto, en principio lo más recomendable es eliminarlos directamente.
- En ningún caso se debe contestar a este tipo de mensajes ni enviar información de ningún tipo.
- Se debe tener precaución a la hora de pinchar en enlaces o descarga de documentos adjuntos, incluso en el caso de que sean contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus.
- En caso de duda, consultar directamente con la empresa o servicio implicado o con terceras partes de confianza como pueden ser las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o la Oficina de Seguridad del Internauta (OSI).
No olvides que desde UFP estamos contigo y esperamos poder ayudarte a crecer
Síguenos en Twitter para que juntos lo podamos hacer!
No te dejes engañar, déjate impresionar!
