Phishing

¿Qué es el Phishing?

El phishing es un delito cibernético en el que una persona o una persona legítima se pone en contacto con un objetivo o destinatarios por correo electrónico o por teléfono. individuos para proporcionar datos confidenciales, como información de identificación personal, datos bancarios y de tarjetas de crédito y contraseñas.

Luego, la información se usa para acceder a cuentas importantes y puede resultar en robo de identidad y pérdida financiera.

La primera demanda de phishing se presentó en 2004 contra un adolescente californiano que creó la imitación del sitio web "America Online". Con este sitio web falso, pudo obtener información confidencial de los usuarios y acceder a los detalles de la tarjeta de crédito para retirar dinero de sus cuentas. Además del correo electrónico y la suplantación de identidad (phishing) en el sitio web, también hay "vishing" (suplantación de identidad (phishing)), "smishing" (SMS phishing) y varias otras técnicas de suplantación de identidad (phishing) que los cibercriminales utilizan constantemente.

Características comunes de los correos electrónicos de phishing

  1. Demasiado Bueno para ser Verdad: las ofertas lucrativas y las declaraciones llamativas o llamativas están diseñadas para atraer la atención de las personas de inmediato. Por ejemplo, muchos afirman que usted ha ganado un iPhone, una lotería o algún otro premio lujoso. Simplemente no haga clic en cualquier correo electrónico sospechoso. Recuerda que si parece bueno ser verdad, ¡probablemente lo sea!
  2. Sentido de Urgencia: una de las tácticas favoritas de los ciberdelincuentes es pedirle que actúe con rapidez, ya que las súper ofertas son solo por un tiempo limitado. Algunos de ellos incluso le dirán que tiene solo unos minutos para responder. Cuando te encuentras con este tipo de correos electrónicos, lo mejor es simplemente ignorarlos. En ocasiones, le dirán que su cuenta se suspenderá a menos que actualice sus datos personales de inmediato. Las organizaciones más confiables dan tiempo suficiente antes de cerrar una cuenta y nunca les piden a los usuarios que actualicen sus datos personales a través de Internet. En caso de duda, visite la fuente directamente en lugar de hacer clic en un enlace en un correo electrónico.
  3. Hipervínculos: un enlace puede no ser todo lo que parece ser. Al pasar sobre un enlace, se muestra la URL real a la que se le dirigirá al hacer clic en él. Podría ser completamente diferente o podría ser un sitio web popular con un error ortográfico, por ejemplo, www.bankofarnerica.com. La 'm' es en realidad una 'r' y una 'n', así que fíjate bien.
  4. Archivos adjuntos: si ve un archivo adjunto en un correo electrónico que no esperaba o no tiene sentido, ¡no lo abra! A menudo contienen cargas útiles como ransomware u otros virus. El único tipo de archivo en el que siempre es seguro hacer clic es un archivo .txt.
  5. Remitente inusual : si parece que proviene de alguien que no conoce o de alguien que conoce, si algo parece fuera de lo común, inesperado, fuera de lugar o simplemente sospechoso en general, ¡no haga clic en él!

Aquí hay un gran recurso de KnowBe4 que describe 22 banderas rojas de ingeniería social que se ven comúnmente en los correos electrónicos de phishing. Recomendamos imprimir este PDF para pasarlo a familiares, amigos y compañeros de trabajo.

Phishing

Prevenir los Ataques de Phishing:

Aunque los piratas informáticos están constantemente desarrollando nuevas técnicas, hay algunas cosas que puede hacer para protegerse y proteger a su organización:

  • Para protegerse contra los correos no deseados, se pueden usar filtros de correo no deseado. En general, los filtros evalúan el origen del mensaje, el software utilizado para enviar el mensaje y la apariencia del mensaje para determinar si es spam. De vez en cuando, los filtros de spam pueden incluso bloquear correos electrónicos de fuentes legítimas, por lo que no siempre son 100% exactos.
  • La configuración del navegador debe cambiarse para evitar que se abran sitios web fraudulentos. Los navegadores mantienen una lista de sitios web falsos y cuando intenta acceder al sitio web, la dirección se bloquea o aparece un mensaje de alerta. La configuración del navegador solo debe permitir que se abran sitios web confiables.
  • Muchos sitios web requieren que los usuarios ingresen información de inicio de sesión mientras se muestra la imagen del usuario. Este tipo de sistema puede estar abierto a ataques de seguridad. Una forma de garantizar la seguridad es cambiar las contraseñas regularmente y nunca usar la misma contraseña para varias cuentas. También es una buena idea que los sitios web utilicen un sistema CAPTCHA para mayor seguridad.
  • Los bancos y las organizaciones financieras utilizan sistemas de monitoreo para prevenir el phishing. Las personas pueden reportar el phishing a grupos de la industria donde se pueden tomar acciones legales contra estos sitios web fraudulentos. Las organizaciones deben proporcionar a los empleados formación en seguridad para reconocer los riesgos.
  • Se requieren cambios en los hábitos de navegación para evitar el phishing. Si se requiere verificación, siempre comuníquese con la compañía personalmente antes de ingresar cualquier detalle en línea.
  • Si hay un enlace en un correo electrónico, pase el cursor sobre la URL primero. Los sitios web seguros con un certificado de Secure Socket Layer (SSL) válido comienzan con "https". Eventualmente, todos los sitios deberán tener un SSL válido.

En general, los correos electrónicos enviados por los ciberdelincuentes se enmascaran para que parezcan enviados por una empresa cuyos servicios son utilizados por el destinatario. Un banco no solicitará información personal por correo electrónico ni suspenderá su cuenta si no actualiza sus datos personales dentro de un período de tiempo determinado. La mayoría de los bancos e instituciones financieras también suelen proporcionar un número de cuenta u otros datos personales en el correo electrónico, lo que garantiza que proviene de una fuente confiable.