Video: Phishing: Qué es Phishing y cómo evitar ser víctima. (Noviembre 2024)
Hablamos mucho de phishing en SecurityWatch. Si bien regularmente advertimos a los lectores que no caigan en estafas de phishing, nos hizo pensar: ¿cuántas personas saben cómo reconocer una estafa de phishing?
El phishing es un problema grave. Las estadísticas de RSA afirman que hubo 445, 000 sitios de phishing en 2012, el doble de lo que se encontró en 2011. Es seguro asumir que 2013 mostrará otro aumento, dijo Corey Nachreiner, director de estrategia de seguridad de WatchGuard. Kaspersky Lab descubrió que los estafadores fingían ser de compañías importantes como Apple, Yahoo, Google, Amazon, eBay, Twitter, Instagram y Skype para engañar a los usuarios para que hicieran clic en un enlace malicioso como parte de una campaña de spam ampliamente difundida en la tercera. trimestre.
"El phishing realmente ha explotado", dijo Nachreiner.
El problema es que cada vez es más difícil reconocer un ataque de phishing. Hace diez años, la mayoría de las estafas de phishing eran bastante fáciles de reconocer. En la mayoría de los casos, los correos electrónicos y los sitios parecían falsos, o había algo que simplemente estaba "apagado". Ese ya no es el caso, ya que los ciberdelincuentes prestan atención a cómo se ven las versiones reales de los correos electrónicos y los sitios, y se aseguran de que sus creaciones imiten al original, dijo Nachreiner. Los delincuentes utilizan con frecuencia las mismas imágenes y el mismo logotipo que la compañía a la que se hacen pasar por personas y adoptan un lenguaje similar. También utilizan con frecuencia diseños y plantillas similares, de modo que a primera vista, estos correos electrónicos y sitios se ven reales.
Aquí hay algunos consejos sobre cómo evitar ir a dichos sitios en primer lugar.
¿A quién se envía?
Comprueba a quién se ha enviado el correo electrónico. ¿Se incluyen muchos otros usuarios en los campos cc: o to: que no reconoce? La mayoría de los minoristas utilizan aplicaciones como Mailchimp, por lo que rara vez verá quién más está en la lista de correo. Si ve otras direcciones, vale la pena ser un poco cuidadoso y escéptico.
Quizás el correo electrónico se haya enviado a varias personas dentro de la misma organización o con el mismo dominio. Esto debería ser una bandera roja, especialmente si ve direcciones para webmaster o administrador. Esto indica que el remitente solo está probando un rango completo de direcciones con la esperanza de que alguien haga clic en el enlace. Si ve un correo electrónico relacionado con el trabajo (por ejemplo, alguien que dice ser un solicitante de empleo o un posible cliente), y el remitente también lo envió a la dirección del webmaster de su empresa, lo más probable es que no sea un correo electrónico que necesite ver. Envíelo a su departamento de TI.
Nunca haga clic en enlaces
Los usuarios nunca deben hacer clic en los enlaces de sus correos electrónicos, especialmente si es un correo electrónico que no solicitaron. No haga clic en un enlace de DHL u otros servicios de envío. No haga clic en un enlace que dice ser de Amazon o LinkedIn. "Simplemente escriba manualmente la URL del sitio al que necesita ir y busque la información directamente en el sitio", recomendó Nachreiner.
Si el correo electrónico le informa sobre un envío entregado, o incluso más comúnmente, un error con un envío (que no conoce), vaya directamente al sitio web del remitente e ingrese la información de seguimiento allí. Si se trata de una oferta de compra especial, vea si puede encontrar una mención de la venta en el sitio, generalmente en "Nuevas ofertas" o algo similar.
Pase el mouse sobre los enlaces
¿Qué pasa si tiene que hacer clic en ese enlace? Tal vez ese correo electrónico ofrece una promoción de ventas solo para las personas que están en la lista de correo y no se pueden encontrar en el sitio web. O es tu amigo favorito en Twitter con algo que realmente necesitas ver. Una forma rápida de verificar si es seguro hacer clic es pasar el mouse sobre el enlace. No haga clic, solo espere para ver cuál es la URL completa. Debería aparecer un cuadro debajo del mouse, o en la parte inferior de su navegador o aplicación de correo. Los delincuentes pueden escribir fácilmente paypal.com en el cuerpo del correo electrónico, pero en realidad te dirigen a una dirección de fakedomain.net. Al pasar el mouse sobre el enlace, puede ver a dónde lo lleva el enlace.
Por ejemplo, puede pensar que este enlace va a https://pcmag.com, pero en realidad lo llevará a nuestro sitio hermano, Computer Shopper.
Si el dominio se muestra como una dirección IP o algún otro nombre, eso es un gran regalo, dijo Nachreiner. "A las empresas les gusta usar palabras, no números, en sus nombres de dominio", dijo Nachreiner.
Lea el dominio con cuidado
Lea el nombre de dominio con cuidado, porque a muchos delincuentes les gusta usar nombres mal escritos, como paypl.com, ctibank.com y event factbook.com. A primera vista, se ven correctos, pero están ahí para atrapar a los incautos.
Otro truco que utilizan los estafadores es crear una URL realmente larga, con el nombre de la empresa falsificado en algún lugar del enlace. Entonces, algo como blah.ru/lots/of/words/andthen/paypal.com puede engañar a los usuarios para que piensen que es un sitio afiliado a PayPal. Otra variación es crear un subdominio como ebay.com.blah.com.
Verificar enlaces
Tal vez has pasado el mouse sobre los enlaces, has leído la URL y aún se ve legítimo. O tal vez la URL de Twitter está utilizando un servicio de acortamiento de URL como bit.ly, t.co, etc., por lo que desplazarse no ayuda. Puede cortar y pegar ese enlace en getlinkinfo.com, un sitio que sigue el enlace por usted y le informa todas las redirecciones. Con getlinkinfo.com, puede confirmar que sí, este correo electrónico realmente le muestra ofertas especiales para clientes de Amazon y no es un intento de robar sus credenciales de Amazon.
Si getlinkinfo.com devuelve una larga lista de URL, "eso debería aumentar su sospecha", dijo Nachreiner, ya que es una señal de que está rebotando en varios sitios antes de ver el sitio web real. Pueden estar relacionados con el marketing o potencialmente estar tratando de distribuir malware.
Sucuri ofrece SiteCheck (http://sitecheck.sucuri.net/scanner/), un escáner gratuito de malware de sitios web que verifica para asegurarse de que el sitio al que va no esté infectado. Si no está seguro acerca de un enlace específico, puede copiar y pegar el enlace en el cuadro del sitio y hacer clic en el botón "Escanear sitio web". Escaneará el sitio y le informará si hay algún malware al acecho.
Si es un enlace bit.ly, también puede usar la función "vista previa". Si escribe la URL acortada bit.ly en la ventana de su navegador y agrega un "+" al final, puede ver quién creó el enlace, a qué sitio apunta y otras estadísticas sobre el enlace. Es una forma ingeniosa de consultar estos enlaces cortos.
Piensa inteligente
"En muchos casos, vas a saber a dónde vas con solo pasar el mouse sobre el enlace", dijo Nachreiner. "Para otros casos, estos servicios pueden ser útiles".
La mejor manera de asegurarse de que no se phishing es no visitar un sitio de phishing en absoluto. Si ingresa sus credenciales de inicio de sesión o su información confidencial en un sitio y presiona enter, el daño ya está hecho. En ese momento, debe cambiar sus contraseñas y comunicarse con sus bancos. El mejor momento para detener un ataque de phishing es incluso antes de llegar al sitio.
