Phishing: 6 preguntas que debemos hacernos para evitarlo

Phishing: 6 preguntas que debemos hacernos para evitarlo

2020-02-25T12:14:20+00:00

El phishing es una de las técnicas más usadas por los ciberdelincuentes para robar datos personales y/o bancarios. El ciberdelincuente, de una forma cada vez más sofisticada, suplanta la identidad de entidades, personas, marcas o servicios conocidos o de confianza con el objeto de engañar a sus víctimas y conseguir infectar su equipo mediante la descarga de un malware que le dé el control de este. 

Su objetivo final suele ser el dinero (robo directo de la cuenta bancaria; uso indebido de la tarjeta de crédito; estafa;…) la obtención de información sensible para su venta y/o suplantación de indentidad.

Este tipo de ataques, por su puesto afectan tanto a particulares como a empresas, lo cual, respecto a estas últimas, es evidentemente aún más lucrativo. El modo de proceder, no obstante, siempre es el mismo, se lleva a cabo mediante el envío de correos que intentan engañar a un miembro de la organización por medio de técnicas de ingeniera social con un enlace o archivo malicioso anexo al mismo.

phishing robo datos

Para ello, si sufrimos un ataque de phishing este correo electrónico incluirá enlaces a un sitio web preparado por los criminales imitando al de la empresa legítima y en el que se invita a la víctima a introducir sus datos personales.

Pero, ¿por qué seguimos cayendo en estas técnicas? ¿Estamos realmente concienciados de la importancia de los datos que tratamos a diario en nuestra vida privada y laboral?¿hemos valorado las posibles consecuencias de nuestros posibles comportamientos imprudentes?

Ante este tipo de técnicas, el mejor “sistema de defensa”, el más fiable, no es otro que la formación básica y concienciación del personal de la organización en las materias de Protección de Datos y Ciberseguridad, por encima de cualquier protocolo y compendio de medidas que pueda establecer la empresa. En esta tarea es vital trabajar con expertos en la materia que permitan al personal tomar conciencia de ello.

Sin unos empleados realmente conocedores del peligro que entrañan sus comportamientos las medidas que las empresas se esfuercen por implantar están inevitablemente condenadas al fracaso en su mayoría.

Así, debemos empezar a interiorizar que los ciberataques se han multiplicado exponencialmente en la última década y que los usuarios debemos aprender a reconocer las señales que puedan delatar al ciberdelincuente y no caer en su trampa. 

Para ello, cuando recibimos un nuevo correo, aun pareciendo de un remitente conocido o de confianza, debemos formularnos rápidamente las siguientes 6 preguntas:

phishing

1. ¿El mensaje es realmente usual o puede considerarse mínimamente sospechoso?

Es raro que las empresas -ya sean de banca, energía o telecomunicaciones- pidan datos personales vía correo electrónico.

Para engañar a su víctima por medio del phishing, el ciberdelincuente puede crear correos que inspiren confianza o curiosidad, suplantando la identidad de una entidad bancaria, de una plataforma de video en streaming o simplemente escribiendo un mensaje atractivo que impulse a clicar en un enlace o archivo. 

Aunque el remitente sea aparentemente conocido y/o el mensaje muy tentador, no se debe confiar en correos inesperados o en respuestas que no hemos solicitado o que realmente no responden al comportamiento habitual de la entidad remitente

phishing datos bancarios

Aunque el dominio del correo o su cuerpo sea aparentemente el legítimo y veraz, si el contenido del correo nos parece mínimamente sospechoso, es siempre aconsejable contactar con el remitente por otro canal (telefónicamente, por ejemplo) para confirmar la legitimidad del correo, antes de clicar en ningún enlace o anexo que pudiera contener.

phishing

2. ¿Quién envía el correo?

Ante la duda, remítete a la web oficial de la empresa o a correos anteriores y confirmar que la dirección de correo tiene el dominio oficial de la empresa.

Es imprescindible echar siempre un vistazo rápido a la dirección de correo del remitente y no fiarnos únicamente del nombre que nos muestra. Debes fijarte siempre en el dominio que usa: si el correo es de una entidad o servicio, es muy probable que utilice sus propios dominios para las direcciones de email corporativas.

En algunos casos los ciberdelincuentes dan un paso más, creando dominios que a simple vista parecen de la compañía en cuestión. Debemos concienciarnos y mejorar nuestra capacidad de análisis al respecto, ser capaces en un simple vistazo de detectar que algo no termina de encajar. Si nos fijamos bien siempre se pueden apreciar pequeñas modificaciones respecto del dominio real, añadiendo palabras impropias de dominios corporativos reales o faltas ortográficas. Por ejemplo: @empresa-clientes.com o @enpresa.com.

phishing

3. ¿Es una petición urgente?

Crear sensación de urgencia es un recurso habitual entre los hackers y en el phishing no encontramos la excepción. Mensajes como “Su contraseña ha caducado! Tiene 24h para modificar sus claves de acceso… “, empujan a la víctima a tomar una decisión rápida y precipitada. 

phishing

Además de las prisas, el concepto de la confidencialidad también es muy usado en este tipo de estafas. Mensajes cómo “Por favor, no comentes esto con nadie más, es un asunto secreto y confidencial…” quieren disuadir a la víctima de realizar las comprobaciones de seguridad pertinentes y no confirmar por tanto la petición con nadie más.

phishing


4. ¿A quién va dirigido el correo? 

Si estás en tu entorno laboral o en él tienes un puesto de cierta relevancia en atención a la información que manejas, que el remitente conozca el nombre del usuario, no es una prueba de su legitimidad.

Generalmente, las campañas de phishing son masivas y se dirigen a cientos de miles de personas en todo el mundo. Por lo tanto, es habitual que no cuenten con los datos personales de sus víctimas potenciales y usen términos genéricos como “Estimado cliente” o “Buenos días”, sin usar el nombre de pila de cada individuo. 

Sin embargo, las técnicas de los hackers han ido perfeccionándose y cada vez son más numerosos los casos de phishings dirigidos y personalizados a victimas concretas, como las estafas del Fraude al CEO y el Fraude de facturas.

phishing

5. ¿El enlace es legítimo? 

Realiza las verificaciones pertinentes en tu espacio personal de cliente, acudiendo directamente desde la Url del navegador.

Si el correo contiene un enlace, es necesario comprobar a dónde conduce antes de clicar, ya que podría ser un enlace trampa. Debemos analizar su dirección web, o URL, para ver si es conocida. ¿Cómo?

phishing atack

Pasar el cursor por encima del enlace sin clicarlo, permite ver la dirección web y comprobar si es o no conocida. Si la dirección a la cual dirige el enlace no coincide con un apartado de la web principal de la compañía probablemente oculte una web maliciosa.

phishing


6. ¿Está bien escrito?

Los errores, incoherencias o faltas de ortografía son un indicio claro.

Que una entidad o compañía envíe una comunicación con una redacción y ortografía descuidadas, es una señal de alarma que nos indica un posible correo fraudulento.

faltas ortográficas phishing

Las campañas de phishing en ocasiones se realizan desde el extranjero y están destinadas a atacar a personas de distintas nacionalidades. Por lo tanto, los ciberdelincuentes traducen sus mensajes a varios idiomas, en ocasiones con muchos errores debido al uso de traductores automáticos.

phishing

Si sigo sin estar 100% seguro…

Estas son solo algunas de las medidas que debemos tener en cuenta a la hora de analizar un posible correo malicioso.

Aun así, es posible que aunque se analicen todos los elementos del correo anteriormente citados no puedas asegurar su total legitimidad, ya que como hemos advertido, estas campañas de phishing son cada vez más sofisticadas y difíciles de detectar.

Nuestra reiterada recomendación, cuente con especialistas en la materia para realizar campañas de concienciación de empleados y extremar las medidas de seguridad en la empresa. Y no lo olvides, ante la duda trata siempre de confirmar la autenticidad del remitente mediante otro canal como el telefónico.

Para más información o consulta, en Safety Iuris estaremos encantados de ayudarte en el telf. 968 93 19 60 o en el correo electrónico info@safetyiuris.com .

phishing

WhatsApp chat