phishing2

Para el usuario que no tenga conocimiento de que consiste el phishing esta es una técnica que lo tratara de engañar para robarle su información confidencial, tales como; ID de usuario, contraseñas, claves de acceso, etc, haciéndole creer que está en un sitio web de su total confianza.

Generalmente hasta la actualidad los hackers han utilizado el envio de correos electrónicos para lanzar este tipo de ataques, pero actualmente con el uso masivo de las redes sociales y dispositivos con conexión permanente a Internet tales como los telefonos inteligentes (smartphones), tabletas (tablets), etc, puede ser que otras vías de ataque se esten gestando.

En el contenido de estos correos electrónicos o mensajes van a incluir un enlace que llevara al usuario hacia un sitio web que aparenta ser conocido por el mismo, pero que en realidad es una copia del original donde se le solicitara su información confidencial.

Los usuarios demasiado confiados y que no dispongan de una protección antivirus adecuada que los pueda proteger de este tipo de ataque, de esta manera, podrían verse involucrados en esta situación, que tiene como principal objetivo el robo de sus datos personales.

Como con cada evento que ocurre en el mundo, tambien con la crisis económica, han proliferando los ataques de phishing que tienen como anzuelo la promesa de un empleo bien renumerado o simplemente una forma sencilla de conseguir dinero.

La pregunta a responder, es…¿Cómo los usuarios pueden prevenir los ataques de phishing?

Los 10 consejos para que los usuarios eviten los ataques de Phishing

  1. Los usuarios deben aprender a identificar entre los correos electrónicos que reciben cuales son sospechosos de ser phishing.

Generalmente para este tipo de ataques a través del correo electrónico, existen algunos aspectos que evidentemente los van a identificar. Generalmente los ciberdelincuentes en sus mensajes suplantadores utilizan todo tipo de argumentos ingeniosos relacionados con la seguridad de las entidades o algún trámite administrativo para justificar la necesidad de que el usuario facilite sus datos personales. Entre las excusas frecuentes se encuentran las siguientes:

  • Problemas de carácter técnico.
  • Recientes detecciones de fraude y urgente incremento del nivel de seguridad.
  • Nuevas recomendaciones de seguridad para prevención del fraude.
  • Cambios en la política de seguridad de las entidades.
  • Promoción de nuevos productos.
  • Premios, regalos o ingresos económicos inesperados.
  • Accesos o usos anómalos a la cuenta del usuario.
  • Inminente desactivación del servicio.
  • Falsas ofertas de empleo.

Los servicios más utilizados por los ciberdelincuentes para suplantar la identidad de los usuarios son los siguientes:

  • Bancos, Entidades bancarias y Cajas de Ahorro
  • Sistemas de pago electronico (PayPal, SafetyPay, Mastercard, Visa, SEPA, etc.)
  • Redes sociales (Facebook, Twitter, Google+, Tuenti, Instagram, Linkedin, hi5, etc.)
  • Páginas de compra/venta y subastas (Amazon, eBay, etc.)
  • Juegos online
  • Soporte técnico y de ayuda (HelpDesk) de empresas y servicios (Outlook, Microsoft, Yahoo!, Apple, Gmail, etc.)
  • Servicios de almacenamiento en la nube (OneDrive, Google Drive, Dropbox, etc.)
  • Servicios o empresas públicas
  • Servicios de mensajería (UPS, DHL, FedEx, MRW, SEUR, etc)
  • Falsas ofertas de empleo

Para lograr su objetivo usan nombres de compañias auténticas y tambien adoptan la imagen de las mismas utilizando como remitente el nombre de la compañia o el de un empleado verdadero de la misma. Visualmente incluyen paginas webs que son iguales a las de las compañias auténticas

  1. Los usuarios deben verificar la procedencia de los correos electronicos que reciben

Por ejemplo; Las entidades bancarias nunca le pedirán a sus usuarios que les envíen sus claves o datos personales por correo electronico. Los usuarios de los bancos nunca deben responder a este tipo de preguntas y si tienen una mínima duda, primero que nada deben llamar directamente a su entidad bancaria para aclararlo. Las entidades de servicio tampoco van a pedirle a sus usuarios que les envien sus credenciales por el correo electronico. Nunca responda a este tipo de mensaje, pues lo más seguro es que sea un anzuelo.

  1. Los usuarios nunca deben hacer clic en links incluidos en correos electrónicos recibidos.

No haga clic en los enlaces o hipervínculos, recibidos en el correo electronico, ya que le podrían dirigir a una web fraudulenta de forma oculta. Los usuarios nunca deben entrar en la pagina web de su entidad bancaria haciendo clic en links incluidos en correos electrónicos recibidos. Para mayor seguridad los usuarios de los bancos deben escribir directamente la dirección de la pagina web en su navegador.

  1. Refuerze la seguridad de su computadora u otro dispositivo

Los usuarios de PCs y otros dispositivos deben tener actualizado el sistema operativo de su equipo asi como los navegadores web y otras aplicaciones instaladas. El sentido común y la prudencia son tan indispensables para mantener su equipo actualizado y protegido con un buen antivirus y firewall que bloquee este tipo de ataques.

  1. Para mayor seguridad de los datos confidenciales de los usuarios introduzca estos, únicamente en paginas webs seguras

Las paginas webs seguras la dirección empieza por https://”  apareciendo en su navegador web en la barra de direcciones con el icono de un pequeño candado cerrado, generalmente cuando la pagina web es segura es de color verde.

  1. Periódicamente revise sus cuentas bancarias.

De forma periódica, para estar al tanto de cualquier irregularidad en sus transacciones online, debe revisar sus cuentas bancarias

  1. El phishing no vive sólo de la banca online.

Generalmente la mayor parte de los ataques de phishing van dirigidos contra entidades bancarias, pero para robar datos personales en realidad los ciberdelincuentes pueden utilizar como anzuelo cualquier otra web, tales como Facebook, Twitter, Pay Pal, eBay, Amazon, etc.

  1. El phishing viene en cualquier idioma

Los ataques de phishing no conocen fronteras y a los usuarios pueden llegarle ataques en cualquier idioma. Una cosa que destaca es que generalmente si los recibe en su idioma, estos están mal escritos o traducidos, esto es un indicador de que algo no esta bien. Por ejemplo; si Ud como usuario nunca ha entrado a la pagina web en inglés de su entidad bancaria, ¿Por qué precisamente ahora debe llegarle un comunicado en ese idioma?

  1. Los usuarios no se deben arriesgar y ante la mínima duda sean prudentes.

La mejor forma de protegerse es siempre rechazar cualquier correo electrónico o comunicado que insista en que se le faciliten datos confidenciales. Se deben eliminar este tipo de correos y a continuación para aclarar cualquier duda llame a la entidad involucrada.

  1. Periódicamente es bueno estar informado sobre la evolución del malware.

El usuario debe tratar de mantenerse al día de los últimos tipos de ataques de malware, las recomendaciones o consejos para evitar estos u otros peligros en la red, etc, siempre los usuarios pueden leer paginas webs que informan de estos acontecimientos. Por ejemplo tenemos SecureList de Kaspersky, PandaNews de Panda Security, ClubNorton de Symantec, Noticias de GData, Avisos de OSI(Oficina de Seguridad del Internauta), Bitdefender Security Blog, unaaladia de Hispasec y  SophosIberia.