Repasando mis notas facultativas de otros tiempos, encuentro textos y anotaciones acerca de temas que siguen tan pendientes hoy como hace 10 años. Y lo que veo es que no solamente están activos, sino que pareciera que el común denominador de la población internauta sigue desconociendo.
Y más queda en evidencia con los últimos ataques a grandes organismos.
Pero comencemos hablando del phishing.
¿Qué es el Phishing?
“Phishing” es una forma de engaño mediante la cual los atacantes envían un mensaje (anzuelo) a una o varias personas, intentando convencerlas para que revelen sus datos personales. Usualmente, esta información es luego utilizada para realizar acciones fraudulentas, como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otras acciones delictivas que pueden efectuarse mediante la utilización de esos datos.
Actualmente el modo de difusión mas utilizado por los atacantes para realizar un ataque de “phishing” es el correo electrónico. Estos correos suelen ser muy convincentes, y simulan haber sido enviados por una entidad conocida y confiable, con la cual la persona opera habitualmente, como por ejemplo un banco o una empresa que realice operaciones comerciales por Internet. En el mensaje se alegan diversos motivos, como problemas técnicos o la actualización o revisión de los datos de una cuenta, y a continuación se le solicita que ingrese a un sitio web para modificar o verificar sus datos personales: nombre completo, DNI, claves de acceso, etc.
Dicha pagina web es en realidad un sitio falsificado que simula ser el de la organización en cuestión. El diseño de estas paginas web suele ser muy similar, y a veces prácticamente idéntico, al de las paginas web reales de la organización cuya identidad se simula. Asimismo, estos sitios tienen direcciones web que pueden confundir a un usuario desprevenido por su parecido con las direcciones web autenticas. En la mayoría de los casos, el texto del enlace escrito en el correo electrónico es la dirección real del sitio web. Sin embargo, si el usuario hace clic en ese enlace, se lo redirige a una pagina web falsa, controlada por el atacante.
También se han detectado casos en los cuales el usuario recibe un mensaje SMS a su teléfono celular, un mensaje en un contestador automático o una llamada telefónica, en los cuales, mediante técnicas muy similares, se lo intenta convencer para que llame a un numero telefónico indicado en el mensaje. Al llamar a dicho numero, un sistema automatizado, haciéndose pasar por la organización, le solicitara sus datos personales, los que luego serán utilizados sin su autorización, con las previsibles consecuencias gravosas.
Prevención
Las siguientes medidas buscan minimizar los efectos negativos de un ataque de “phishing” y de ser posible, impedirlo:
- Si recibís un correo electrónico que te pide información personal o financiera, no respondas. Si el mensaje te invita a acceder a un sitio web a través de un enlace incluido en su contenido, no lo hagas. Las organizaciones que trabajan seriamente están al tanto de este tipo de fraudes y por consiguiente, no solicitan información por medio del correo electrónico. Tampoco te contactan telefónicamente, ni mediante mensajes SMS o por fax. Si te preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo, o que lo ha contactado, llámalos directamente utilizando un numero telefónico conocido y provisto por la entidad u obtenido a través de medios confiables, como por ejemplo del ultimo resumen de cuenta. Alternativamente, se puede ingresar en la pagina oficial de la organización, ingresando la dirección de Internet correspondiente en el navegador (nada de accesos directos).
- No envíes información personal usando mensajes de correo electrónico. El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital (próximos posts!!), no es un medio seguro para enviar información personal o confidencial.
- No accedas desde lugares públicos. En la medida de lo posible, evita ingresar al sitio web de una entidad financiera o de comercio electrónico desde un cyber-cafe, locutorio u otro lugar publico. Las PCs instaladas en estos lugares podrían contener software o hardware malicioso destinado a capturar sus datos personales.
- Verifica los indicadores de seguridad del sitio web en el cual ingresara información personal. Si es indispensable realizar un tramite o proveer información personal a una organización por medio del sitio web, escribí la dirección web vos mismo en el navegador y busquen los indicadores de seguridad del sitio. Al acceder al sitio web, se debería notar que la dirección web comienza con “https://”, donde la “s” indica que la transmisión de información es “segura”. Verifiquen también que en la parte inferior del navegador aparezca un candado cerrado. Haciendo clic sobre ese candado, podremos comprobar la validez del certificado digital y obtener información sobre la identidad del sitio web al que esta accediendo.
- Mantengan actualizado el software de la PC: Instalen las actualizaciones de seguridad del sistema operativo y de todas las aplicaciones que utilizan, NO es necesario un antivirus, pero si las actualizaciones de sistema, el navegador web y el correo electrónico. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en forma automática.
- Revisen sus resúmenes bancarios y de tarjeta de crédito tan pronto los reciban. Si detecta cargos u operaciones no autorizadas, llamen de inmediato con la organización emisora. También llamen si se produce una demora inusual en la recepción del resumen.
- No descarguen ni abran archivos de fuentes no confiables. Estos archivos pueden tener virus o software malicioso que podrían permitir a un atacante acceder a la computadora y por lo tanto, a toda la información que almacene o introduzca en esta.
Recordemos
No contesten ningún mensaje que resulte sospechoso. Si un mensaje les avisa sobre un evento adverso vinculado a la cuenta bancaria y les solicita que llamen a un teléfono gratuito, no lo hagan. Si reciben un correo electrónico que les pide lo mismo, no le crean. Si del mismo modo les envían un SMS de bienvenida a un servicio que no ha contratado, elimínenlo. Las mencionadas practicas no son sino diversas modalidades que persiguen el mismo fin: obtener tus datos personales para defraudarlos.
Finalmente
Permanezcan siempre atentos para evitar el acceso indebido a información personal. Observamos que día a día aparecen nuevas estrategias de engaño. La desconfianza y el cuidado con que analizan los sitios web en los que ingresan sus datos de identidad, son la mejor protección.
Nunca dejen de mirar al cielo.
Pingback: Guarda con el Pishing – Mercadopago Trucho (Post Ejemplo) – La Compu Del Vecino