En anteriores publicaciones explicábamos qué es el phishing y cómo evitarlo. Hoy desarrollaremos algunos tipos para protegerse del phishing. Esta modalidad de estafa está directamente asociada al envío de correos electrónicos, pero no solamente abarca el mailing, pues en Peritos Informáticos hemos tratado casos de phishing en redes sociales, a través de mensajería telefónica o de llamadas telefónicas, entre otras.
Tipos de phishing
Persiguiendo siempre el objetivo de estafar y ganar dinero de forma fraudulenta, existen varias modalidades de phishing que podemos clasificar:
Phisihng vía email
Es la modalidad más utilizada, en la que los phishers lanzan correos electrónicos haciéndose pasar por grandes y conocidas empresas. Estos correos contienen un programa maligno que se activa mediante clics en los enlaces o en la descarga de los archivos adjuntos. Existe dentro de esta modalidad una variante en la que el mismo correo es el que contiene el malware, por lo que con tan solo abrirlo, quedamos expuestos.
Spear Phisihng
Aquí es donde entran los correos con peticiones de datos específicas. Funciona como el phishing con la diferencia de que te lleva a una página externa a través de un correo electrónico que nos habrá generado cierta confianza porque habrán personalizado el asunto o provendrá de parte de alguna persona que reconozcamos, empresa u organizaciones que los phishers habrán seleccionado previamente.
Smishing
Aquí entra el uso de mensajería telefónica. La mayoría recibimos notificaciones de nuestras entidades bancarias cuando realizamos movimientos, cuando quieren avisarnos de cambios en sus políticas, etc. Esta modalidad crea un mensaje parecido al de estas entidades que contendrá un enlace al que nos pedirán que accedamos haciendo clic para conseguir de esta manera nuestros datos bancarios, nos pedirán que llamemos a un número de teléfono o que respondamos a un mensaje de texto. Algo que no deberemos hacer bajo ningún concepto.
Phising en las redes sociales
Actualmente estar en el mundo de las redes sociales para las empresas es algo indispensable, y además, sumamos la gestión de estas a usuarios de diferentes niveles de usabilidad. Aquí los hackers hacen uso de plataformas como Facebook, Twitter o Instagram para robar datos personales. Seguramente nos suena esa vez que hemos visto un mensaje en el muro de alguno de nuestros familiares o amigos con un texto sospechoso y un enlace al que hacer clic. Esto lo ha creado un phisher.
Vishing
O las temidas llamadas telefónicas o mensajes de voz. Esta modalidad hace uso de la falsa cercanía que puede producir una llamada, consiguiendo una comunicación más personal y exponiendo un problema que solamente se podrá resolver si el locutor facilita los datos que se le piden: acceso a su equipo para reforzar su protección porque ha habido una brecha, una supuesta devolución de dinero por un servicio contratado años atrás y la necesidad de su cuenta corriente, una supuesta llamada de nuestro banco para informar de algún problema en nuestra cuenta que deberán solventar desde dentro con nuestras credenciales… y un largo etcétera.
Cómo protegerse del phishing
Ya mencionábamos que la mejor herramienta para prevenir el phishing es el sentido común, pero bien es cierto que existen muchas personas con pocos conocimientos informáticos que no tienen por qué saber que estas amenazas en la red y en nuestros dispositivos son reales, y es muy fácil que caigan si no se tienen en cuenta premisas como:
Reforzar la seguridad del ordenador o del dispositivo
Esta es la primera acción que debemos llevar a cabo en nuestros ordenadores, móviles y/o tablets. Actualmente existen antivirus muy potentes capaces de detectar este tipo de ataques.
Hacer uso de un administrador de contraseñas
En nuestros dispositivos, cuentas y perfiles deberíamos tener muchas contraseñas y diferentes. Un administrador de contraseñas nos permitirá realizar el menor número de clics en el ratón al introducir nuestras credenciales online.
Aprender a identificar correos sospechosos
Como ya hemos comentado otras veces, estos correos adoptan nombres e imágenes de empresas reales, pero en muchas ocasiones y con echar un par de vistazos al correo, podemos identificar detalles como el dominio, que no va a ser el mismo que el de la empresa real; faltas ortográficas, se dirigen a nosotros de forma genérica en lugar de personalizar el correo y siempre tendrán una excusa que ofrecernos (un premio, un descuento, un aviso de autenticación de contraseña…) para que dejemos a mano nuestros datos bancarios o claves.
Comprobar la fuente de información
Una vez tengamos el correo identificado como posible phishing, si tenemos dudas directamente llamaremos a la entidad que supuestamente nos ha enviado el correo electrónico para verificar si, efectivamente, debemos seguir adelante o no con la contestación al correo. Bajo ningún concepto contestaremos directamente con otro email a esa dirección ni picharemos en ningún enlace que nos faciliten. Ese enlace puede ser la puerta del delincuente informático a todos nuestros datos. Huelga decir que nuestro banco jamás nos pedirá datos bancarios o claves mediante un correo electrónico.
Reconocer una web segura
Si la web a la que vamos a acceder empieza por htps:// y a su izquierda aparece un candado cerrado, esa web será segura. De lo contrario, nuestro ordenador nos habrá avisado de que no es un sitio seguro o nuestro antivirus deberá haber saltado. Por si estas dos opciones no se dieran, deberemos tener en cuenta siempre esos dos detalles.
Desconfiar de las llamadas sospechosas
Explorar la procedencia de la llamada siempre nos será de gran ayuda. Deberemos verificar siempre la fuente contactando con la empresa desde la que dicen llamar. No haremos nada de lo que nos piden y cortaremos la llamada con celeridad en caso de que no nos faciliten la información que le pedimos para que se identifiquen.
En Peritos Informáticos contamos con expertos en analizar cadenas de correos electrónicos para detectar signos de manipulación, lo que puede evitar muchas situaciones indeseadas.
