El phishing y sus consecuencias
Para empezar, vamos a definir qué es el phishing: Se conoce como phishing el delito de engañar a las personas para conseguir así su información confidencial como contraseñas, números de tarjetas de crédito, códigos secretos… Existen varias técnicas para esto, siendo la más habitual la suplantación de identidad a una organización como banco, organización gubernamental o persona de tu confianza.
Este tipo de mensajes pueden tener diferentes objetivos como influir en el destinatario mediante el miedo (multas o sanciones a revisar) o menos habituales, anunciar al destinatario como ganador de algún tipo de sorteo. En ambos casos el mensaje siempre requiere ser revisado con inmediatez, provocando así una sensación de inseguridad en el receptor del mensaje en cuestión.
Una vez el usuario cae en la trampa, es decir, pincha en el enlace falso, a este se le requieren sus datos privados, lo mencionado con anterioridad: Usuario y clave de alguna plataforma, código de acceso al banco… Si el usuario cae en la trampa, el delincuente cuenta a partir de ese momento con sus datos, con los cuales puede suplantar tu identidad, saquear tu cuenta o vender tus datos personales en el mercado negro.
Uno de los grandes peligros de esta técnica es su simplicidad. Cualquiera puede ejercerla, no necesitas grandes conocimientos técnicos para llevarla a cabo, basta con crear una cuenta falsa de correo y la creación de un portal similar al de la plataforma a suplantar. De hecho, este método es el más usado entre los atacantes. No necesitarán grandes capacidades técnicas para lograr burlar diferentes capas de seguridad, basta con conseguir una persona que no compruebe adecuadamente la procedencia de un correo electrónico.
Existen diferentes maneras de llevar a cabo este ataque:
Mediante SMS
Estos mensajes cuentan con un factor que hace que sean más difíciles de identificar y es que en muchas ocasiones aun que el mensaje sea de un remitente fiable, no viene identificado como tal, así como los correos electrónicos, donde podemos comprobar el dominio del destinatario siempre. Aquí debemos fijarnos en otros detalles para identificar el fraude: Por ejemplo, el enlace que incluirá este mensaje comenzará con un http:// y no con un https://, la diferencia es pequeña pero muy importante y es que debemos de fijarnos en esta pequeña diferencia para identificar si este enlace nos redirigirá a un sitio web seguro (https://) o no seguro (http:// ).
Además de esto, podemos primero preguntarnos si realmente estábamos esperando un SMS de este tipo, por ejemplo, si nos llega un SMS referente a la recogida o entrega de un pedido: ¿Estamos esperando un pedido actualmente?
Siempre podemos contactar con la entidad firmante para poder asegurarnos al 100% la procedencia de estos mensajes, siendo esta, la forma más veraz de cerciorarnos.
Estos consejos serán aplicables a cualquier método de los que mencionaremos en este artículo.
CORREO ELECTRÓNICO
Aquí vamos a diferenciar diferentes tipos, los cuales no son excluyentes entre sí.
Correo electrónico masivo
Estos mails, como bien indica el titulo, se envían de forma indiscriminada a cualquier tipo de destinatario. Son emails aplicables a cualquier empresa o usuario, como por ejemplo, una multa de tráfico o un tramite gubernamental cualquiera. Lo mismo que mencionamos antes con los mensajes de texto, debemos identificar si el remitente es auténtico con las herramientas que mencionamos con anterioridad.
Correo electrónico dirigido
Estos mails están diseñados para un usuario o empresa concreta. Su contenido está relacionado expresamente con el destinatario. El delincuente estudia de diversas formas diferentes maneras de relacionar estos mails con el usuario, o bien mediante contenido que realmente este espera, como un mail procedente de un proveedor concreto o algo relacionado con un trámite gubernamental directamente relacionado con su empresa.
Clonación
Como bien indicaba anteriormente, ninguna de las formas son excluyentes entre sí, es más, normalmente son complementarias. En este caso, como bien indica el titulo, el delincuente trata de clonar la forma y apariencia de la entidad a la que se intenta suplantar. Tanto en el propio correo electrónico como en la web a la que accedes a través del enlace fraudulento que este incluye. Estos portales falsos son en algunos casos idénticos a los verdaderos. Para evitar caer en este engaño, lo que debemos hacer es acceder por nuestro propio pie a dicho portal o acceso, a través de nuestro navegador y buscando nosotros directamente el mismo.
TELEFÓNICO
También tenemos intentos de suplantación a través de las llamadas clásicas. Aquí el modus operandi es más agresivo ya que requieren inmediatez, es decir, te solicitan que realices el trámite a la vez que mantienes la conversación con ellos, haciendo así que carezcas de tiempo para pensar o analizar la situación. En estas llamadas normalmente intentan hacernos creer que debemos hacer una gestión para nuestro banco o cualquier gestión gubernamental, como de costumbre. Aquí es simple reconocer el fraude y es que en el momento en que nos requieran cualquier código o credenciales personales, debemos colgar ya que desde una entidad oficial jamás no solicitaran esto, ya que es algo totalmente prohibido.
Mención aparte merece la famosa llamada de Microsoft, en la cual el interlocutor se hace pasar por un técnico y nos solicita el acceso remoto a nuestro ordenador, consiguiendo así acceso a toda nuestra información confidencial como datos o contraseñas que tengamos guardadas en el mismo o permitiéndole instalar cualquier tipo de malware o virus en el dispositivo. Esto es también fácil de evitar y es que Microsoft o cualquier empresa similar, nunca realiza este tipo de llamadas, por lo cual debemos de desconfiar de cualquier llamada similar.
En resumen, en caso de duda debemos por defecto, desconfiar, y si es posible, consultar con nuestro proveedor de servicios informáticos.
Hoy en día, en el mundo empresarial, además de las soluciones de ciberseguridad que se implementan como firewalls perimetrales, sistemas anti-ransomware, copias de seguridad, es igualmente importante la formación y concienciación a los usuarios.
Desde 2KSystems podemos ayudarte haciendo una campaña de simulacros de phishing en tu empresa, analizando las debilidades reales y pudiendo así acompañarlo de una formación posterior para tus emplead@s.
