Guía básica para protegerte del Phishing

El Phishing es un tipo de suplantación de identidad que algunos atacantes utilizan para intentar obtener cierta información confidencial y con ella cometer ilícitos.

Los criminales que llevan a cabo estas prácticas recurren a la suplantación o falsificación de correos electrónicos y sitios web de entidades de confianza, (por ejemplo los bancos) para intentar obtener contraseñas, números de cuenta, etc. Aunque también pueden usar programas de mensajería instantánea e incluso llamadas telefónicas y mensajes de texto SMS.

El origen del término proviene del inglés fishing, que significa “ir de pesca”; haciendo alusión a que se intenta hacer que los usuarios “muerdan el anzuelo”.

La forma más usual de hacer phishing consiste en un correo electrónico con un diseño idéntico al original, pero con los enlaces (links) alterados. Estos enlaces dirigirán al usuario a una página web, también idéntica a la original, en la que todos los datos que capturemos serán enviados al criminal.

Sabiendo lo anterior, debemos tener en cuenta que a los enlaces de un correo que dice venir de nuestro banco debemos de darles un tratamiento especial, sobre todo si sospechamos de la autenticidad del mismo.

Existen ciertas características que nos ayudan a detectar si un correo es un intento de phishing. Algunas de ellas son:

  1. Un correo auténtico de un banco u otra entidad formal nunca tendrá el formulario de inicio de sesión dentro del mismo correo.
  2. El hecho de que el texto de un enlace diga http://mibanco.com no significa necesariamente que nos va a dirigir a esa página. Puede por ejemplo, dirigirnos a http://mibanc0.com (la o en banco, en realidad es un cero) ó http://mibancо.com.  Nótese que está última luce casi igual, sin embargo la “o” en banco en realidad es una “o” del alfabeto ruso y no español, lo cual las hace diferentes. Un ejemplo real sería http://www.bancomer.com/ (URL verdadera) y http://www.bancоmer.com/ (URL falsa)
  3. Si algún enlace del correo nos lleva a una página en cuya dirección aparece un caracter @ (arroba), se trata de un intento de phishing. Un ejemplo podría ser la siguiente: http://mibanco.com@fakebank.com. El usuario podría creer que accede a mibanco.com, cuando en realidad estaría accediendo a fakebank.com.
  4. Si al visitar la supuesta página del banco el certificado está caduco o es inexistente, debemos suponer que la página es falsa.

Existen también una serie de recomendaciones que pueden ayudar a disminuir las probabilidades de que seamos víctimas:

  • Hacer caso omiso de correos y anuncios que muestren promociones demasiado buenas para ser verdad.
  • Si queremos visitar un enlace incluido en un correo lo mejor es que escribamos nosotros mismos la dirección URL en la barra de direcciones del navegador.
  • Si bien es bastante cómodo y funcional hacer banca electrónica, debemos tener en cuenta que ciertos movimientos es mejor hacerlos directo en la sucursal.
  • Al visitar el sitio de un banco, hay que asegurarse que la dirección URL sea la correcta. También debemos revisar que el certificado no esté caducado.
  • Nunca debemos realizar transacciones bancarias en computadoras públicas.

Ejemplos de Phishing

ps1

Página falsa de IZZI Telecom en la que supuestamente se ofrece Wifi Gratis a cambio de Iniciar sesión con Facebook.

Correo Phishing

Correo falso de Banamex que solicita descargar un archivo adjunto

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s