ES
Nos hemos acostumbrado a un buzón de correo electrónico lleno de spam. Pero hoy en día los clientes de correo electrónico como Gmail o Outlook son lo suficientemente inteligentes como para filtrarlo automáticamente por ti, asegurándose de tirarlos a la carpeta de spam sin fondo. Pero si abres esta caja de pandora, te das cuenta de que hay algunos correos electrónicos bastante interesantes. Algunos parecen ser de tu tienda favorita, de tu banco o de una agencia gubernamental. Pero algunos consiguen entrar, y son una valiosa herramienta en el libro de jugadas de los estafadores.
El phishing consiste en enviar mensajes masivos de correo electrónico fraudulentos que guían a los usuarios ingenuos a sitios web de apariencia legítima pero falsos, donde se les pide que revelen información personal como números de cuenta o contraseñas.
- Sid Kirchheimer
Como puede verse en la definición anterior, el phishing utiliza la familiaridad de un consumidor con un sitio o una marca para engañarle y conseguir que facilite información. Pero esto también puede extenderse a la descarga de software malicioso que los usuarios no harían habitualmente. Todo depende de la confianza que depositen en la marca o el sitio web y de cómo bajen la guardia. Pero esto no se limita a los ataques personales, ya que el phishing corporativo ha crecido mucho en los últimos tiempos.
Los estafadores utilizan esta forma de fraude para obtener información o introducir software malicioso. Dado que cada vez nos comunicamos más a través de Internet (banca, comercio electrónico, administración pública, etc.), este canal resulta más lucrativo para los estafadores.
Mediante el envío masivo de correos electrónicos, el estafador puede permanecer en el anonimato al tiempo que envía un gran volumen de correos electrónicos de suplantación de identidad, y lo mejor (para ellos) es que es más personalizado que el spam general. Al dirigirse a servicios y marcas con los que el consumidor está familiarizado, el porcentaje de éxito es mayor.
He aquí una lista de los datos que buscan los estafadores.
El problema del phishing es para los estafadores una industria lucrativa, profundamente arraigada en la tecnología. Y como cualquier industria tecnológica, está en constante cambio y evolución.
El objetivo del phishing solía ser predominantemente individuos, con estafadores que buscaban anotar de persona a persona. Sin embargo, 2018 fue testigo de este cambio. Los principales impulsores del mundo del phishing han puesto sus miras en el mundo corporativo, donde las organizaciones son ahora su objetivo. Los principales objetivos son el correo electrónico y los servicios en línea (26% de todos los ataques), que superaron a las instituciones financieras (21%).
Un área específica de crecimiento ha sido contra el software como servicio (SaaS), que creció enormemente en un 237%. A esto se unen también los ataques a plataformas de medios sociales. Como ya se ha mencionado, la confianza de los usuarios en este tipo de plataformas es cada vez mayor, y los estafadores de phishing se aprovechan de ello.
Estados Unidos sigue encabezando la lista de objetivos de los estafadores, con un número creciente de ataques. De hecho, fue el objetivo del 86% de todos los ataques. Otros objetivos destacados son India, Turquía y Colombia. Pero eso no significa que no haya habido descensos en otros lugares. Canadá, Italia y Francia experimentaron descensos de actividad en 2017
La ubicación real del propio sitio de phishing también pinta un cuadro interesante. La mayoría de las ubicaciones de phishing se pueden encontrar en "redes de alojamiento web comprometidas", según PhishLabs. La opción más popular con diferencia es Estados Unidos (56 %), con Francia (4 %), Alemania (4 %) y Reino Unido (3 %) muy por detrás. Esto, junto con el hecho de que el 49% de los sitios de phishing utilizan el dominio de primer nivel .com, indica que los estafadores quieren que los usuarios piensen que están en un sitio fiable y de confianza.
Una tendencia muy preocupante es la adaptación de los estafadores de phishing a los indicadores de seguridad que utilizan los consumidores para mantenerse a salvo. En el centro de todo esto está la certificación utilizada por los sitios web. A los usuarios se les ha enseñado desde diversas fuentes a fijarse en este indicador concreto como señal de confianza. Y solían estar en lo cierto en esta suposición, ya que en 2016 solo el 5 % de los sitios de phishing tenían este certificado. Sin embargo, este número se ha disparado en 2017, con casi un tercio de los sitios de phishing ahora con HTTTPS.
La mayoría de las veces, los phishers tienden a utilizar dominios registrados creados maliciosamente en lugar de comprometer sitios legítimos. El catalizador de este cambio puede rastrearse hasta el uso de proveedores de alojamiento gratuitos.
Estudio de caso: Relleno de URL
Para engañar a los usuarios desprevenidos, los estafadores se han vuelto más astutos. Para hacer creer a los usuarios que están en un sitio legítimo, rellenan la URL con símbolos como guiones, al tiempo que incluyen una parte legítima de la URL de marca.
Por ejemplo www.amazon------------------/shoes/converse.tk
De este modo se aprovecha el reducido espacio de pantalla disponible en la mayoría de los teléfonos móviles. Por lo tanto, lo más probable es que el usuario vea la sección www.amazon-----. Esto, junto con una falsificación bien diseñada del sitio, suele bastar para engañar a los usuarios sobre su autenticidad.
Los móviles son cada vez más utilizados en todo el mundo. Como plataforma, el teléfono móvil contiene vías fáciles para dirigirse al público objetivo.
¿Utiliza un teléfono móvil de última generación? Si no es así, ¿ha ignorado alguna vez la notificación de "actualizar ahora" una y otra vez (o peor aún, quizá el fabricante ha dejado de proporcionar actualizaciones...)? Esto, unido a la miríada de aplicaciones que se pueden descargar (de dudosa calidad), ha supuesto un aumento de su importancia para el phishing.
1. ¿Estás pensando en hacer clic en un enlace cualquiera? ¡Piénsatelo otra vez!
Tenga cuidado al abrir un correo electrónico o un mensaje y ver un hipervínculo (enlace a un sitio web diferente). A menudo puede estar oculto en el texto o en una imagen. Si no estás seguro al 100% de que un correo electrónico sea legítimo, piénsatelo dos veces y comprueba si puedes encontrar la página con una simple búsqueda en Google.
2. Apariencia: Ortografía, gramática y formato
Esta es una forma clásica de detectar una estafa. Los estafadores de phishing, al igual que Internet, son criaturas globales. Por lo tanto, el idioma en el que intentan comunicarse con usted puede no ser su lengua materna. A diferencia del departamento de comunicación de una gran organización, no tienen el tiempo, la paciencia o los conocimientos necesarios para comprobar su lenguaje. Lo mismo ocurre con los medios utilizados, como las fotos. A menudo tienen un aspecto extraño, con baja resolución o recortes extraños.
¿De verdad crees que una empresa legal permitiría que este tipo de mensajes llegaran a sus clientes? No, así que cuando veas esto, ¡piénsatelo dos veces!
3. Solicitud de información personal
Si un correo electrónico o mensaje te pide información como detalles de tu cuenta, nombre de usuario/contraseña u otra información de esa naturaleza, piénsatelo siempre dos veces. Las instituciones nunca pedirán ese tipo de información por correo electrónico o mensajes, ya que saben que no son seguros. Además, no tiene sentido que una organización te pida información que es a la vez sensible y que ya conocen.
4. Urgencia o amenazas
Otra táctica de las estafas de phishing consiste en centrarse en amenazas inminentes. Por ejemplo, el cierre de una cuenta, una transacción sospechosa que debe resolverse lo antes posible, etc. También amenazas explícitas, como una multa o un proceso judicial si no se toma algún tipo de medida.
Para aumentar esta presión se utilizan organizaciones como bancos o autoridades gubernamentales. Los estafadores cuentan con que estés preocupado o nervioso... pero no caigas en su trampa. Tómate un respiro y piensa realmente si la organización te preguntaría de esta manera o te pediría este tipo de información. Si tiene dudas, utilice un motor de búsqueda para obtener los datos de contacto de la organización y confirme si realmente le han enviado esta comunicación.
Así que, Scamfighters, tened cuidado ahí fuera y evitad las trampas que os tienden estos "phish-ers". Si sigues estos consejos y utilizas tu sentido común, estarás preparado para cualquier cosa que se te presente.
