¿Qué es el phishing y cómo nos ataca?
Uno de los vectores de ataque más utilizados para el phishing es el correo electrónico. ¿Quién de vosotros no ha recibido alguna vez un email de una entidad bancaria (de la que somos clientes, o de la que no somos clientes) avisándonos que debemos acceder inmediatamente? Todos estos correos electrónicos de phishing están a la orden del día, y donde más se centran los cibercriminales son en las credenciales bancarias, para acceder a nuestra cuenta del banco y empezar a realizarse a sí mismos transferencias. La infografía realizada por los especialistas de estafa.info brinda ejemplos que ayudan a identificar correos fraudulentos.
Para ver la infografía completa, haga click sobre la imagen.
Otros servicios donde los cibercriminales se centran especialmente con los ataques de phishing, son en los sistemas de pago. En esta ocasión, los cibercriminales no intentan quedarse con nuestras credenciales, sino con los datos completos de nuestra tarjeta de débito/crédito, incluyendo el CVV2 de la parte trasera de la tarjeta. En los comercios donde no está implementado el conocido 3D Secure (en Mastercard se llama “SecureCode” y en Visa se llama “Verified by Visa”), simplemente con los datos de la tarjeta ya podrían realizar compras, sin ningún tipo de autenticación adicional como SMS de verificación al propietario de la tarjeta u otros métodos. El objetivo de 3D Secure es disminuir las estafas en las tiendas online, y proporcionar una seguridad mayor a los usuarios.
En España las pérdidas causadas por los cibercriminales ascienden a 14.000 millones de euros anuales, con un total de 120.000 ataques a portales globales de Internet, y donde un 20,05% de los usuarios son atacados vía phishing.
Así funciona el phishing
El correo electrónico es el vector de ataque más utilizado en el phishing. El ciberdelincuente lo que hace es enviar miles emails fraudulentos a miles de direcciones de correo electrónicos de usuarios, este email está perfectamente diseñado para hacerse pasar por uno original de la entidad bancaria, como, por ejemplo, Caixabank, El Santander, BBVA, Bankia y muchos otros bancos.
Dentro del cuerpo del email se le explica al cliente algún problema con su cuenta (problema totalmente ficticio), y le invita a pinchar en un enlace. Este enlace nos llevará directamente a un dominio bajo el control del cibercriminal, y la web de destino estará diseñada exactamente igual que la web oficial del banco.
En esta web falsa, es donde los usuarios “pican” e introducirán sus datos de acceso para acceder a la banca personal. Por supuesto, los datos de acceso son enviados al ciberdelincuente y ya tendrá acceso a la banca digital del banco.
Cómo detectar que un email es phishing
El email que nos llega por parte del ciberdelincuente, normalmente no viene del dominio oficial de la entidad, aunque es posible que nos hayan enviado un email realizando un spoofing del campo “De:” de nuestro banco, para que sea más difícil averiguarlo. En el cuerpo del email podremos ver que hay faltas de ortografía, faltan tildes, signos de puntuación, e incluso nos incitan a que accedamos rápidamente, ya que de lo contrario podrían cobrarnos comisión, bloquear la cuenta bancaria y otras mentiras para que la gente “pique” en este engaño.
Otra forma de detectar que es un phishing, es accediendo al link que nos indica en el email (aunque no es recomendable pinchar nunca en estos enlaces). Normalmente el cibercriminal habrá comprado un dominio muy similar al del banco que quiere suplantar, como, por ejemplo, www.bancossantander.com, www.bancobankia.com o dominios similares que realmente no existen. Actualmente los cibercriminales ya utilizan HTTPS en sus servidores web, debido a que cualquiera puede tener un certificado gracias a Let’s Encrypt, por tanto, que tenga HTTPS y tengamos el “candadito” no significa que sea un sitio seguro, sino que la comunicación entre nosotros y dicha web sí es segura.
Esperamos que nunca caigáis en el phishing, pero si lamentablemente habéis caído, lo más importante es llamar al banco inmediatamente para que bloqueen la cuenta y generen nuevas credenciales de acceso. Si han realizado transferencias y te has dado cuenta pronto, seguramente podrán anularlas sin mayores problemas. No obstante, siempre que te ocurra, después de llamar al banco os recomendamos ir directamente a una Comisaría de Policía o a la Guardia Civil para poner la correspondiente denuncia, ya que seguramente el Banco os lo pida para realizar todas las acciones de recuperar el dinero estafado.
Fuente obtenida de: https://www.redeszone.net/tutoriales/seguridad/riesgos-phishing-como-funciona-detectarlo/
