Phishing: no muerdas el anzuelo

Publicado el 30/01/2017, por INCIBE
phishing

Una de las amenazas de ciberseguridad más frecuentes en las pymes es el phishing. El término phishing viene del inglés fishing, que se pronuncia igual, y que significa pescar. En este caso no se pescan peces, sino datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias.

Este incidente tiene dos caras:

  • nosotros o nuestros empleados podemos recibir un email, una llamada telefónica o un mensaje SMS, que en realidad es un timo, con el que intentarán robarnos los datos personales, es decir, seremos los «pescados»;
  • nuestra web puede ser atacada para suplantar a otra y enviar correos de phishing con los que robar datos personales de clientes de la entidad suplantada, es decir seremos «la caña del pescador».

Es decir, con este nombre se conoce por una parte a la estafa que podemos sufrir, generalmente a través de un mensaje fraudulento de correo electrónico, con el que el ciberdelincuente pretende capturar de forma ilícita nuestros datos personales: como contraseñas de acceso a nuestros sistemas o datos de nuestras cuentas bancarias.

Y también se denomina así al ataque que sufrimos en nuestra web por el que cambian su aspecto para suplantar a una entidad a la que redirigen a los que pican en los mensajes fraudulentos que envían masivamente y que podrían ser enviados desde la página falsa de la entidad suplantada. Esto fue lo que pasó a Andrés, un empresario que nos lo cuenta en esta historia real.

Para hacer frente a esta amenaza en tu empresa tienes que:

  1. Proteger tu web para impedir que sea objeto de este tipo de ataques.
  2. Concienciar a tus empleados para evitar que «piquen» en el anzuelo del email fraudulento y les den por ejemplo las contraseñas de acceso a nuestros sistemas, a nuestra web, o  la cuenta del banco. 

Además de proteger tu web, en esta infografía tienes diez consejos para evitar que tú o tus empleados seáis víctimas de phishing.

Los dos primeros van dirigidos al responsable de soporte tecnológico, para que evite cualquier fallo técnico y ponga en marcha las medidas tecnológicas como antivirus o filtros de correo, para evitar o identificar cualquier intento de infección de nuestros sistemas, ya que a través de un mensaje fraudulento podrían instalar algún tipo de malware de los que nos espían (spyware) y roban contraseñas (keyloggers).

Los otros ocho son consejos para todos los empleados, para desenmascarar cualquier intento de phishing y no «picar» en esos anzuelos.

El «cebo» de estos mensajes suele ser su remitente, su aspecto suplantando un correo legítimo y su tono de urgencia, adulador o amenazante. Son técnicas de ingeniería social y sólo podemos hacerles frente estando avisados y entrenándonos (por ejemplo con este kit).

El anzuelo viene en forma de enlace o fichero a descargar. Está afilado y si picamos no podremos soltarnos pues está diseñado con un doble gancho (la «muerte») para no perder la presa. Los enlaces pueden iniciar la descarga de malware o llevarnos a páginas en las que nos pedirán nuestras credenciales. Los ficheros adjuntos pueden tener malware o programas que se los descarguen. En ambos casos si hacemos clic, estamos muy cerca de quedar atrapados. Si has hecho clic en un enlace tendrás que aprender a identificar las páginas fraudulentas para que la «muerte» no te atrape. Y si descargas un fichero por error quizá lo mejor sea deshacerte de él. Sigue los consejos sobre los enlaces y los ficheros descargables para no morder el anzuelo.

Decálogo Antiphishing El phishing es un ataque que se inicia enviando a la víctima una comunicación en la que, suplantando a una entidad conocida, le piden que haga clic en un enlace, descargue un fichero o envíe información sensible.  El objetivo es robar cuentas, contraseñas y otros datos, o infectarle con malware.  Sigue este decálogo para hacerle frente. 1.	Instala un antivirus con antiphishing para correo y páginas web. Mantenlo actualizado, con las firmas al día y activado. 2.	Actualiza el software de tus sistemas y de tu web en cuanto conozcas que hay una actualización, pues se aprovechan de estos fallos para instalar el malware. 3.	Permanece atento para reconocer los ataques de ingeniería social. Si tienen prisas, te adulan o te amenazan, ¡desconfía!  4.	Si tienes dudas de la veracidad del mensaje o de su procedencia, contacta por otro medio con el remitente y confirma que realmente te ha enviado ese mensaje antes de responder o hacerles caso. 5.	No hagas clic en una URL para introducir tus datos sin antes pasar el ratón sobre el enlace para comprobar si es legítimo el sitio a dónde te dirige.  6.	Desconfía de las URL acortadas, pues no se puede comprobar si el destino es legítimo o no. Los sitios legales no las utilizarán para pedirte datos. 7.	Antes de hacer login en una web, comprueba su identidad: consulta los datos de certificado, en el candado de la barra de navegación. Verifica que usa https://. 8.	Antes de introducir el email, y otros datos sensibles, en una web o en un formulario lee y comprende la política de privacidad y el aviso legal para evitar dar tu consentimiento a que cedan esos datos a terceros y terminen en manos de ciberdelincuentes. 9.	Al descargar un fichero no hagas clic en «habilitar el contenido» salvo que confíes en la fuente de dónde procede. Si al descargar un fichero te solicita permiso para habilitar el contenido, no te fíes, podría iniciarse la descarga del malware.  10.	Ante la menor sospecha: ¡borra el mensaje o cuelga esa llamada!