Una vez se ganan la confianza, pueden lograr su objetivo. Puede ser por ejemplo que accedan a un link fraudulento o que de alguna manera cedan sus datos
Regeneración, 20 de septiembre de 2018.– El phishing es una técnica de ingeniería social que utilizan los estafadores para engañar a la víctima. Buscan hacerse con las credenciales, desviar fondos o, de alguna manera, poder introducir diferentes variedades de malware en un sistema. Para ello utilizan lo que en español diríamos cebo. El objetivo es lograr que la víctima pique en el anzuelo. Para ello utilizan diferentes técnicas. A veces simplemente buscan el desconcierto de la víctima, crear confusión y de esta manera llegar al engaño. Vamos a explicar algunas de las más comunes y cómo podríamos evitar caer en la trampa.
Este es un problema que está relacionado cada vez más con los bancos. De hecho, recientemente publicamos un artículo donde dimos algunas recomendaciones para evitar ser víctima del phishing bancario. Pero por desgracia esto hay que aplicarlo a muchos ámbitos del día a día.
Juegan con el tiempo y la urgencia
Una de las técnicas más frecuentes utilizadas por los usuarios es la urgencia. Juegan con el tiempo. Buscan que la víctima tenga menos tiempo de reacción y más prisas. Por ejemplo, algo bastante común, es recibir un e-mail supuestamente de nuestro banco o cualquier otra cuenta que tengamos, y nos indican que nuestros datos deben actualizarse urgentemente. Quizás nos digan incluso que tenemos un tiempo límite.
También puede ocurrir que nos adviertan de posibles problemas de seguridad. Nos dicen que nuestra cuenta puede estar en peligro y que debemos de cambiar la clave urgentemente. Lógicamente los usuarios podrían asustarse, ponerse nerviosos y querer arreglar el problema cuanto antes. De ahí que cambien esa contraseña o hagan justo lo que los ciberdelincuentes quieran.
Las técnicas son cada vez más sofisticadas. Esto significa que pueden hacer uso de nombres que nos resultan familiares o incluso hacerse pasar por algún contacto nuestro. Podrían pedirnos realizar una transferencia urgente, por ejemplo. O, lo más habitual, que enviemos una serie de datos personales que son necesarios para algo.
Pero esto no hay que aplicarlo únicamente al phishing. En ocasiones lo que buscan los ciberdelincuentes es que instalemos alguna aplicación maliciosa, por ejemplo. Recibimos un mensaje donde nos instan a actualizar nuestro equipo o instalar alguna aplicación para solucionar un supuesto problema de seguridad peligroso.
Intimidación o amenazas
En otras ocasiones los ciberdelincuentes buscan intimidar a la víctima. Por ejemplo, hacerles creer que van a cerrar un servicio que tienen contratado. Pongamos la situación de que alguien tiene cuenta de Netflix, por ejemplo. Se han visto casos de correos electrónicos enviados a estos usuarios donde se les indican que deben pagar una cantidad de dinero o tendrán que cerrar su cuenta y dejará de estar disponible.
Esto se aplica a otros muchos campos. Buscan el miedo de la víctima mediante la suplantación del servicio comercial. Falsifican los correos para hacer creer que están ante algo real y legítimo. Sin embargo, no es más que una estafa para hacerse con las credenciales o incluso el dinero de ese usuario.
La amabilidad y buenas palabras
Pero hay otra técnica distinta utilizada por los estafadores para engañar a la víctima y es la amabilidad o tener buenas palabras. Realizan solicitudes teniendo para ello buenas palabras, halagos y mucha amabilidad. Buscan ganarse la confianza de los usuarios.
Una vez se ganan la confianza, pueden lograr su objetivo. Puede ser por ejemplo que accedan a un link fraudulento o que de alguna manera cedan sus datos.
Pero existen muchas más técnicas de estafa. Los usuarios siempre tienen que utilizar el sentido común para evitar ser víctima.
Cómo evitar el phishing
Lo primero que hay que hacer es prestar mucha atención a los mensajes que nos llegan tanto por SMS como por correo electrónico o redes sociales. Estas son las principales fuentes de entrada. Los atacantes pretenden hacernos creer que estamos ante un sitio legítimo, como un banco, y que podemos introducir nuestras credenciales sin problemas.
Siguiendo con el ejemplo de un banco, que es uno de los más habituales en el phishing, la compañía jamás nos enviaría un correo pidiéndonos nuestros datos y contraseñas. Lo mismo con cualquier otro registro. Hay que tener mucho cuidado con e-mails del tipo: “introduce tus datos para que no se desactive tu cuenta”.
Siempre hay que verificar la fuente de los correos que recibamos. Hay que fijarse bien en la dirección, aunque en muchas ocasiones calcan hasta el logo de la empresa. A fin de cuentas su objetivo es suplantar la identidad. Pero hay pequeños detalles que pueden delatar al atacante, como la dirección de correo que pueda contener letras o caracteres extraños, así como la forma de escribir (una traducción al español mala, por ejemplo).
Hay que evitar entrar en aquellas cuentas sensibles directamente desde un link. Es decir, si queremos entrar en la cuenta del banco, lo mejor es que introduzcamos la dirección de forma manual en la barra de direcciones. Nunca entrar mediante un enlace.
También, en cuanto a acceso a páginas sensibles, hay que introducir siempre los datos en webs seguras con HTTPS. Así nos aseguramos de que nuestros datos vayan cifrados.
Aunque lo principal para protegernos del phishing es el sentido común, conviene contar con programas y herramientas de seguridad. De esta manera podremos combatir el malware que pueda permitir la entrada de atacantes a nuestro equipo.
Por último, un consejo importante contra el phishing es contar con diferentes contraseñas. Esto significa que no debemos de tener una misma clave para diferentes cuentas. Es posible que los ciberdelincuentes encuentren una vulnerabilidad en alguna cuenta personal y puedan acceder al resto. Además, es interesante cambiar de forma periódica estas contraseñas.