Phising - DSK

¡ALERTA, TIENES UN MENSAJE NUEVO!

EL ‘PHISHING’ DE UN VISTAZO_

Descubre qué es, cómo funciona y cómo puedes intentar protegerte de una de las estafas más comunes de Internet

Todo lo que necesitas saber

¿Qué es?

¿De dónde viene el nombre?

¿Cuál es su origen?

¿Cómo funciona?

¿Qué identidades se suplantan?

Así te intentan pescar __

Aunque todas las formas de phishing se basan en la manipulación psicológica mediante ingeniería social, los ciberdelincuentes utilizan distintos canales tecnológicos para intentar pescar tus datos.

Vía web y redes sociales

Vía correo electrónico

Vía SMS

Vía telefónica

Los cuatro pasos de un ataque phishing

Para poder realizar sus ataques con éxito, los ciberdelincuentes suelen seguir los siguientes pasos:

1 __ Contextualización

Los ciberdelincuentes intentan contextualizar sus ataques de phishing utilizando datos que encuentran en Internet y en las redes sociales. Si saben, por ejemplo, que una persona es cliente de una determinada empresa, pueden personalizar el ataque, aumentando las probabilidades de tener éxito.

2 __ Suplantación de identidad

El atacante debe interactuar con sus víctimas de forma convincente. Una forma común consiste en imitar un sitio web de una empresa legítima que incluya su logotipo para dar sensación de credibilidad ante la víctima.

3 __ Comunicación

Esta es la parte más esencial del ataque: se comunican con las víctimas para intentar interactuar con ellas. Una de las formas más sencillas consiste en avisar al objetivo de que tiene un paquete pendiente de entrega o una multa, y proporcionarle un enlace al sitio fraudulento con la esperanza de que caiga en la trampa.

4 __ Explotación

Cuando el ataque tiene éxito, los ciberdelincuentes acceden a información sensible de sus víctimas, como sus credenciales de inicio de sesión o los datos de sus tarjetas. Una vez que se hacen con ellos, pueden usarlos (por ejemplo, para acceder a sistemas privados), o venderlos a otros ciberdelincuentes. O peor aún, ambas cosas.

La clave: piensa antes de hacer clic o responder __

La principal medida de seguridad es la desconfianza. Estos son los mejores consejos para intentar esquivar a los ciberdelincuentes:

1 __ Averigua quién te envía el correo electrónico

2 __ Desconfía de asuntos alarmistas

3 __ Fíjate en la redacción y ortografía

4 __ Busca signos de personalización

5 __ Desconfía cuando soliciten tus datos personales o bancario

6 __ Antes de hacer clic, fíjate en la dirección del enlace

7 __ No descargues ficheros sin fijarte en la extensión

8 __ Si sospechas, reporta

Vía web y redes socialeS

Crean páginas o perfiles en redes sociales, generalmente de venta de productos y servicios conocidos a precios muy baratos para seducir al usuario y animarle a realizar una compra con la que obtendrán sus datos.

Si sospechas, reporta

Ante cualquier duda contacta con la persona o entidad que crees que está siendo suplantada a través de los canales oficiales o que guardes en tus contactos.

Vía telefónicA

Los ciberdelincuentes se hacen pasar por organizaciones con las que el usuario tiene alguna relación (su compañía de suministro energético o telefónico, su banco, etcétera) e inventan alguna excusa para que comparta sus datos, claves o códigos de confirmación.

Fíjate en la redacción y ortografía

Los correos de phishing suelen tener frases mal construidas o sin sentido, palabras con símbolos o caracteres extraños, faltas de ortografía, etcétera. Pero los ciberdelincuentes también van mejorando sus prácticas, así que, ante un mensaje sospechoso con una perfecta redacción, verifica el resto de las pistas antes de darlo por bueno.

Vía SMS

Similar al correo electrónico, pero a través de un mensaje de texto. Recibe el nombre específico de smishing.

Averigua quién te envía el correo electrónicO

Si no conoces al remitente o la dirección web no coincide con la empresa o servicio que dice ser puedes estar ante un caso de phishing. Si recibes un correo en nombre de tu banco, y el domino del e-mail no incluye el nombre del banco, es sospechoso. También lo es si el correo que utiliza un servicio gratuito como Gmail y Outlook.

¿Qué es?

Se refiere a un conjunto de técnicas que los ciberdelincuentes utilizan para intentar ganarse la confianza de sus víctimas, infundirles miedo o manipularlas para acceder a datos sensibles, como números de cuenta.

Desconfía de asuntos alarmistaS

El asunto suele ser muy llamativo o solicitar alguna acción de manera urgente: “Tiene un mensaje nuevo de seguridad”, “Detectados movimientos sospechosos”, “Eliminación de cuentas inactivas”, “Ha recibido una notificación”, “Tienes un paquete esperando”, etcétera.

Desconfía cuando soliciten tus datos personales o bancarioS

Ya sean llamadas o correos electrónicos que soliciten tu firma electrónica completa, no es común pedir datos a través de estas vías. Tu banco nunca te pedirá contraseñas completas ni códigos de confirmación.

¿Cuál es su origen?

La primera mención conocida data de 1996 para denominar a quienes intentaban "pescar" cuentas de usuarios de AOL.

¿De dónde vieneel nombre?

El término procede del inglés fishing, que literalmente significa pescar. Los ciberdelincuentes van a intentar pescar tus datos mediante phishing.

Vía correo electrónico

Envían un e-mail de aspecto fidedigno junto a un enlace fraudulento que redirigirá a una web donde se intentará llevar a cabo el robo de los datos. En muchas ocasiones el engaño gira en torno a paquetes pendientes, cancelación de cuentas, premios u ofertas fuera de lo normal.

No descargues ficheros sin fijarTe en la extensióN

Si el mensaje que recibes invita a descargar un fichero que, curiosamente, tiene más de una extensión, algo como “nombredelfichero.doc.zip”, o se trata de un fichero comprimido (.zip) o un ejecutable (.exe), no se te ocurra descargarlo. Si confías en la fuente y decides descargar del fichero, analízalo siempre con un antivirus antes de abrirlo y ejecutarlo. Si no esperabas el mensaje, ni conoces la persona o sospechas de los motivos, no descargues ningún archivo.

Busca signos de personalización

Un mensaje de phishing está poco o nada personalizado. Comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, son indicios de alerta. Si un delincuente quiere estafar a cientos de miles de personas, es difícil que sepa el nombre de todas, por eso se utilizan fórmulas genéricas.

¿Qué identidades se suplantan?

Muchos servicios se han visto afectados por el phishing, desde instituciones públicas como la Agencia Tributaria y el Servicio de Correos y Telégrafos, pasando por las Fuerzas y Cuerpos de Seguridad del Estado como la Policía y la Guardia Civil hasta empresas privadas de todo tipo de sectores.

¿Cómo funciona?

Aunque existen distintas formas de perpetrar un ataque de phishing, en todas ellas ciberdelincuentes fingen ser una entidad o una persona en la que la víctima confía para manipularla para que realice acciones indebidas, (como revelar información confidencial, hacer clic en un enlace fraudulento o descargar un archivo que contamine su dispositivo).

Antes de hacer clic, fíjate en la dirección del enlacE

Es importante comprobar que el enlace que has recibido es fiable. Para ello, sitúa el puntero del ratón encima del botón o del enlace y observa la dirección. Si parece sospechoso, ¡no hagas clic!