Phishing, enemigo número 1 en internet

06 ago 2020

La digitalización trajo consigo conceptos como el phishing, un sistema para hacer que la gente dé información personal con técnicas fraudulentas. Esta información incluye contraseñas, números de cuentas bancarias, tarjetas de crédito, datos personales o el número de la Seguridad Social. El objetivo: desplumarte.

Detrás de este phishing están los hackers, o sea, los ciberdelincuentes que te convencerán de estar en una página web que no es la tuya. Intentarán empatizar contigo de alguna manera, un correo electrónico, un mensaje al móvil o desde redes sociales… cualquier medio les vale para que vendas tu alma al diablo. Desde Wandoo, te decimos “cuidado con las contraseñas”.

De dónde procede el engaño en el phishing

El origen del phishing radica en supuestas páginas de confianza para ti, por ejemplo, tu banco, tu compañía de gas o de luz… Estás páginas serán una copia de las originales para que des toda la información que te piden con confianza. Es pues una manipulación en toda regla porque el usuario no duda de la veracidad de la fuente.

Desconfiar de los correos electrónicos y solo acceder a ciertas páginas introduciendo la URL en el navegador es buena solución para evitar el phishing. En estos correos fraudulentos es posible que te soliciten algún tipo de actualización de tus datos o cambio de contraseña. Si lo haces, habrás caído en las garras del phishing.

Es muy difícil, por no decir imposible, erradicar el phishing, pero sí puedes saber cuándo estás ante un caso. De primeras, siempre desconfía, porque una gran empresa no te va decir que le des claves por correo; eso seguro. Tener un buen antivirus y actualizarlo también ayudará a evitar este fraude.

Como llamadas a la acción de los usuarios, los delincuentes virtuales alegan imperiosa necesidad. Esta urgencia para que se actúe rápido consigue que no se piense en lo que se está haciendo. De este modo, el fraude es más efectivo y el tiempo de actuación del usuario, si es que pica, es rápido. Pero no está todo perdido; podemos protegernos del fraude y reconocerlo.

Phising algunos consejos para evitarlo

Desde Wandoo, queremos aportar una serie de puntos clave para reconocer que estamos ante un caso de phishing. Como punto de partida siempre está la desconfianza. Desde ahí, conviene que tengas en cuenta que:

1. No es habitual que tu banco te pide por email cierto de tipo de información personal. Quien dice el banco, dice otro tipo de entidades.

2. Las copias de las webs son muy buenas, pero distintas. Si ves alguna diferencia que te haga sospechar, lo primero que debes hacer es precisamente sospechar.

3. Con el móvil perderás capacidad de ver estas diferencias. El hacker lo sabe y se aprovechará de esto.

4. Se aprovecharán de las redes sociales, así que olvídate de contestar enlaces desde Facebook por muy fan que seas de su comunidad.

5. Si te mandan archivos adjuntos que no has pedido y no tienes ni idea de qué son, ¿para qué descargarlos? Mala idea. Mejor ignóralos.

6. Tus contraseñas son tuyas y solo tuyas. No las compartas con nadie.

7. Bajo ningún concepto compartas datos personales por teléfono o correo electrónico.

8. Lee con lupa la URL, es decir, la dirección del sitio web. En el phishing intentan cambiar un pequeño detalle que si detectas te estarás adelantando a la estafa.

9. Mira de vez en cuanto tus cuentas bancarias para ver que todo está en orden, aunque no hagas compras o transacciones.

10. No prescindas del antivirus en tu ordenador. Hay muchísimos y opciones gratuitas, así que no instalarlo es falta grave.

11. Accede a las páginas que te interesen directamente sin enlaces como intermediarios.

12. Fíjate que la URL tenga el símbolo de un candado y comience por https://

13. Actualiza el navegador de vez en cuando.

Tipos de phising

Randend, una empresa emergente tecnológica española, explica que hay distintas variantes de phishing para tener en cuenta. Aunque la base en todos ellos es la misma, cada uno suplanta la identidad con unas artimañas distintas. Nunca está de más hacer un pequeño repaso de estas tretas.

Phishing de redireccionamiento

Aquí se incluyen las acciones para que un usuario meta sus datos en una plantilla o formulario que controla el ciberdelincuente. Es el más habitual de todos y lo normal es que proceda de una marca conocida que ya cuente con la confianza de las víctimas. PayPal, Iberdrola, Bankia… cada cual tendrá las suyas para poner de ejemplo.

¿Cómo actúan estos piratas informáticos? Hacen una campaña masiva, envían el email a mucha gente y seguro que alguien morderá el anzuelo. Cualquier pretexto, como anunciarte un error falso, para conseguir tus datos personales les sirve. No te olvides de que lo harán muy bien y es sencillo caer en sus redes.

En Wandoo, te planteamos un prototipo inventado de lo que podría ser un email de este tipo. Ten en cuenta que el formato sería casi idéntico al que te llegaría desde tu propia entidad bancaria, así como los colores y la identidad corporativa. Al pinchar en el enlace, entrarías en una web clonada o ilegítima.

Estimado cliente,



Le informamos de que hemos tenido un problema a la hora de verificar su número de cuenta. Para activarla de nuevo y que pueda seguir realizando transacciones económicas, por favor, haga clic en el siguiente enlace y complete los datos que se le solicitan.



Podrá seguir utilizando la banca electrónica tan rápido como lo solucionemos.



Disculpe las molestias

Phishing por SMS o Smishing

El protagonista indiscutible de esta modalidad de Phishing es el teléfono móvil. La víctima recibirá un mensaje de texto (SMS) supuestamente procedente de una empresa. Esta tratará de que entres en el enlace que añaden poniéndote la miel en los labios de distintas maneras. Puedes haber ganado un concurso o quizá te quieran ofrecer algún descuento sin precedente.

A lo mejor no usan la técnica de pinchar en el enlace; pero les sirve que respondas al mensaje original o que les llames por teléfono. Ahí ya serás suyo y el ciberdelincuente habrá ganado la batalla contigo. No son tontos y la “empresa origen” del mensaje será más que de sobra conocida por ti.

Vishing. El teléfono imprescindible

Para este tipo de phishing también se necesita un teléfono, ya que consiste en establecer conversación telefónica. El delincuente suplanta la identidad de otro (teleoperador, soporte técnico…) para conseguir los datos personales con tan solo una llamada telefónica.

Un ejemplo podría ser recibir una llamada telefónica procedente de tu entidad bancaria. En ella te aseguran que alguien ha usado tu tarjeta de crédito o débito de forma fraudulenta y que necesitan tu número para comprobarlo. Tú, por supuesto, te lo crees, se lo das y ya tienen tu tarjeta para operar en internet.

Suplantar a un alto cargo de tu empresa

Si alguien te envía un correo electrónico diciendo ser el director ejecutivo de tu empresa y el email incluye su firma… ¿lo creerías? En este mensaje, el supuesto director de tu empresa te pide datos superconfidenciales para proceder a una transferencia por objetivos, comisiones, stock options o cualquier asunto goloso que haga a la víctima no dudar de la procedencia.

Otra variante del phishingpuede ser que, en lugar del director, el mail proceda de supuestos empleados de un cargo similar al tuyo. Estos te dan un número de cuenta y te piden que transfieras ahí cierta cantidad económica para finalizar una importante operación en la que trabajan. Tú, con tal de no desobedecer, vendes tu alma al diablo e ingresas la cantidad. También mal hecho.

SEO fraudulento

Esta técnica de phishing no tiene desperdicio y está más que elaborada. Consiste en posicionar una página falsa de, supongamos tu entidad bancaria, por la optimización en los motores de búsqueda encima de la original. Esto lo hacen con técnicas SEO de posicionamiento orgánico y SEM, o lo que es lo mismo anuncios pagados. Lo explicamos con un ejemplo.

El delincuente analiza la página web de tu banco y mira la posición que ocupa en el Page Rank, es decir, la posición del buscador. Si tu banco ocupa una posición 7, por decir una, ellos crearán otra que esté por encima de este número. Así saldrá antes y el usuario pinchará primero en el enlace cuando hace búsquedas en la web.

Este plan maestro va acompañado de un estudio de palabras clave y de técnicas SEM (Search Engine Marketing) que ayudarán a que la página falsa suba como la espuma a las más altas posiciones de Google. El usuario que va directo a la barra de búsqueda, mete el nombre de su entidad y pincha en la falsa porque está más arriba.

Pharming

Este tipo de phishing consiste en dirigir a los usuarios que quieren acceder a una página web a otra. De este modo, redirigen el tráfico a páginas maliciosas que lo que harán será instalar un software en el equipo de la víctima. Este software sabrá cuándo se meten datos confidenciales y se accederá a ellos para usarlos de manera ilegítima.

En muchas ocasiones, los ciberdelincuentes desempeñan su trabajo con tanta maestría que resultará muy difícil saber que se está ante una página falsa. No obstante, hay que revisar siempre la dirección y comprobar que el http lleva siempre la s (de seguro). El antivirus siempre será un punto a favor en tu lucha contra este tipo de phishing.

Spearphishing

Esta clase de phishing va destinada a personas con nombre y apellido, ya sean físicas o jurídicas. Esto es así para crear más confianza a la hora de conseguir los datos confidenciales. Muchas veces, además, esto va a acompañado de la instalación de un malware. Las campañas ya no son masivas, sino que seleccionan a un grupo reducido de personas que consideren relevantes.

Protegerse de esto no es fácil, porque el Spearphishing está realizado con grandes dosis de inteligencia que dificultan su detección. Un fallo humano al abrir un correo fraudulento puede tener consecuencias a gran escala que incluyen ya el espionaje. Por último, es posible coordinar muchos ordenadores en bonets, es decir grandes redes que se usarán para atacar.

Ser víctima del phishing nos puede pasar a todos, así que toda precaución que tomes es poca. Los ciberdelicuentes están bien preparados, saben lo que hacen y se aprovecharán de la confianza de sus víctimas. A partir de ahora, andarás con pies de plomo por el ciberespacio y harás de la desconfianza a la hora de dar datos personales toda una consigna.