Si algo online parece demasiado bueno para que sea verdad, normalmente no lo es.
El Phishing es una de esas cosas que actúan como si fueran legítimas y de confianza para conseguir dinero, el tipo de juego que se llamaría «phisy». Cuanto más grande sea la empresa, más complicadas pueden ser las consecuencias.
Más a menudo de lo que debiera, el «phishy» no es lo suficientemente «phishy» como para que a uno le pique el dedo y pulse sobre ese enlace tentador y entregue su información confidencial, poniendo así en riesgo a toda su empresa.
Pero, ¿cómo de «phishy» es en realidad el phishing? Continúe la lectura para asegurarse de que usted y su organización se mantienen alejados de ello y de sus desagradables consecuencias.
¿Qué es el phishing?
Esta forma de fraude en línea utiliza sutiles y astutos trucos de ingeniería social que permiten a los ciberdelincuentes, pulsando el botón psicológico adecuado, robar los datos personales de la víctima, lo que es mucho más fácil que atravesar el sistema de seguridad de un ordenador o de una red.
Definición
El phishing es un tipo de ciberataque en el que el atacante se presenta como una entidad o persona de confianza, utilizando varias maneras de comunicación online para distribuir enlaces o archivos adjuntos maliciosos que pueden realizar diversas funciones, pero con un único fin: robar los datos y el dinero de la víctima.
¿Cómo funciona?
En general, este ataque furtivo pero a la vista se realiza a través del correo electrónico, pero también puede dirigirse a sus víctimas a través de mensajes directos o SMS, también conocido como smishing.
En ocasiones, los phishers pueden acceder a fuentes de información públicas para recopilar datos sobre el historial personal y profesional, los intereses y las actividades de la víctima, por lo general a través de redes sociales como LinkedIn, Facebook y Twitter.
Toda la información recopilada puede ayudar a elaborar un correo electrónico creíble, aumentando la probabilidad de que el ataque tenga éxito.
Otras veces, el ataque no se dirige específicamente a alguien o a una determinada organización. Se envía a granel, y sólo hace falta la desafortunada combinación de mala suerte y falta de preparación para que alguien se convierta en víctima.
Normalmente, la víctima recibe un mensaje que parece haber sido enviado por un contacto u organización conocida. El ataque se lanza entonces a través de un archivo adjunto malicioso o a través de un enlace que direcciona a un sitio web malicioso. En cualquiera de los casos, el objetivo es instalar un malware en el dispositivo atacado o guiar a la víctima a un sitio web ilícito, (normalmente una página de inicio de sesión falsa) que solicita credenciales y datos financieros.
Aunque algunos ciberdelincuentes pueden ser descuidados de vez en cuando y enviar correos electrónicos de suplantación de identidad mal redactados que le griten «estafa» en la cara, no debería respirar aliviado todavía. Los trucos de phishing son cada vez más sofisticados y aprovechan las mismas técnicas que utilizan los profesionales del marketing para identificar los tipos de mensajes más eficaces.
¿Cómo se reconoce el phishing?
Los mensajes de phishing logrados son difíciles de distinguir de los reales. A menudo parecen proceder de empresas conocidas, incluyendo detalles como los logotipos corporativos y otras características específicas.
De todos modos, a continuación presentamos 8 banderas rojas que pueden indicar que está siendo objeto de un intento de phishing:
- El remitente utiliza una dirección de correo electrónico de Gmail u otra dirección pública en lugar de una dirección de correo electrónico corporativa.
- El mensaje utiliza subdominios, URLs mal escritas o sospechosas.
- El tono del mensaje invoca el miedo o la urgencia.
- El mensaje incluye una solicitud para verificar la información personal.
- Se le ofrecen cupones.
- El mensaje incluye una factura falsa.
- Se le pide que pulse en un enlace para realizar un pago.
- El mensaje afirma que se ha detectado una actividad sospechosa o intentos de inicio de sesión.
¿Cómo se puede evitar el phishing?
Los expertos recomiendan establecer controles de seguridad en capas para evitar que los mensajes de phishing lleguen a los usuarios, lo que incluye:
- elegir un software antivirus de confianza
- habilitar los cortafuegos de escritorio y de red;
- instalar programas antispyware;
- instalar una barra de herramientas antiphishing en los navegadores web;
- filtro en la entrada del correo electrónico;
- filtro de seguridad en la entrada de la web;
- filtro de spam;
- filtros de phishing de proveedores de confianza, como Microsoft.
Todas estas medidas de seguridad son aún más recomendables para las empresas. Los servidores de correo deben hacer uso de al menos un estándar de autenticación de correo electrónico para verificar los correos entrantes y bloquear todos los mensajes excepto los que hayan sido firmados criptográficamente.
Aunque los ajustes de software pueden ser útiles para prevenir el phishing, los phishers se aprovechan de la interacción humana, considerando el factor psicológico como el principal objetivo, por lo que laformación en ciberseguridad es muy recomendable.
Dicho todo esto, ¿qué nivel de «phishy» hace que rechace instantáneamente un intento de phishing?
Atribución:
