Phishing y el ataque Informático, ¿qué es y cómo combatirlo?

Todos los usuarios del correo electrónico corremos el riesgo de ser víctimas de estos intentos de ataques Phishing. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos de noticias o en algún sitio web) será más susceptible de ser víctima de un ataque debido a los spiders que rastrean la red en busca de direcciones válidas de correo electrónico. Éste es el motivo de que exista este tipo de malware. Es realmente barato el realizar un ataque de este tipo y los beneficios obtenidos son cuantiosos con tan sólo un pequeñísimo porcentaje de éxito.

Phishing

La mejor manera de protegerse del Phishing es entender la manera de actuar de los proveedores de servicios financieros y otras entidades susceptibles de recibir este tipo de ataques.

El Phishing de forma común es una técnica de ataque informático mediante la suplantación de identidad. Por norma general suele iniciarse mediante el envío de un correo electrónico a un usuario simulando ser una entidad legítima, red social, banco, institución pública, etc. El objetivo de este correo es el robo de información privada o manipulación de una operación financiera.

Este tipo de correos fraudulentos contienen siempre algún enlace a un sitio web falsificado mediante la suplantación de identidad de una empresa o servicio. En este sitio web falso el usuario atacado meterá sus datos privados y contraseñas de forma voluntaria al ser solicitados por el atacante.

Por este tipo de metodología, el Phishing actúa mediante lo que se conoce como Ingeniería Social, puesto que el ataque no tendría ningún éxito si no es con la colaboración del usuario atacado, por lo que el primer paso es engañar al usuario para que piense que está introduciendo sus datos en una empresa real o que está hablando con un responsable directo de la empresa falsificada.

Una parte importante en el Phishing es que el atacante debe conocer un patrón en el usuario, debe conocer si usa redes sociales, o determinados servicios. Por este motivo el atacante suele recurrir a entidades falsas de mucha importancia para asegurarse que su ataque surte efecto. Estas entidades suelen ser Microsoft, Apple, Facebook, Google, Whatsapp, Amazon, etc.

El Phishing está volviendo a coger fuerza actualmente cambiando el método de comunicación, lo que antes se realizaba únicamente por correo electrónico ahora lo están haciendo mediante mensajería como Whatsapp, redes sociales como Facebook, llamadas mediante Skype o incluso se han visto ataques mediante anuncios en la prensa de puestos de trabajo al que el usuario llamaba y daba todos sus datos.

Phishing

Phishing

¿Características generales de los correos Phishing?

Las comunicaciones creadas para suplantar la identidad utilizan todo tipo de herramientas y argumentos basados en el ingenio, y suelen estar relacionadas con la seguridad de la entidad, claves de acceso, credenciales, o el adelanto de algún trámite administrativo para justificar la necesidad de que el usuario atacado facilite todos sus datos personales al atacante. Las excusas más frecuentes en los ataques Phishing son las siguientes:

  • Resolución de una incidencia técnica
  • Premios o regalos
  • Cambio de cuenta bancaria
  • Detección de un fraude reciente y necesidad de aumentar la seguridad
  • Recomendaciones de seguridad contra fraudes
  • Acceso anómalo a tu cuenta
  • Desactivación de un servicio si no lo reactivas (recordemos Whatsapp Premium)
  • Falsa oferta de empleo

Como medida de presión el correo o mensaje fraudulento tratará siempre de meter prisa al usuario en la toma de sus decisiones, la acción se torna inmediata puesto que en caso contrario el servicio quedaría desactivado, el usuario sería sancionado o en el caso de un premio lo perdería de forma instantánea al entender renuncia del usuario.

Los timadores que usan el Phishing como forma de ataque están continuamente perfeccionando sus técnicas mediante el empleo de herramientas automáticas que envían el mismo correo a muchos destinatarios de forma automática y personalizada con el nombre o los datos del atacado. Estas herramientas al jugar con traducciones simultáneas suelen tener errores y faltas ortográficas. Además suelen falsificar la identidad de una entidad mediante la sustitución de algún carácter del nombre o algún símbolo. Ejemplos como Microstf o AppIe son bien conocidos en este campo de las estafas electrónicas. Otras veces el nombre de la compañía falsificada coincide exactamente con el nombre original, con lo que tendremos que tener mayor cuidado aún.

Agentes externos más utilizados en la suplantación de identidad

a) Entidades bancarias

Las entidades bancarias son objetivos claros en los ataques por Phishing, la finalidad es clara, robo de los datos personales y del dinero de las cuentas. La forma de actuar es muy tradicional, siendo:

  • Cambio en la normativa interna de la entidad
  • Mejoras en las medidas de seguridad
  • Bloqueo de la cuenta por infracción del usuario
  • Cierre incorrecto de la sesión anterior
  • Intrusión en los sistemas de seguridad

El objetivo en estos ataques como decía es el de robar los números de cuenta o de tarjetas, PIN secreto, transferencias, saldo de las cuentas, etc.

Se han detectado casos de Phishing a entidades como Bankia, Banco Popular, Banco Santander, BBVA, ING Direct, Caja España, La Caixa, etc. Prácticamente ninguna entidad bancaria se salva de que traten de suplantar su identidad en contra de sus usuarios.

Recientemente se ha detectado que algunos atacantes dejan a la puerta de alguna sucursal de banco un Stand con algún folleto para rellenar por el usuario de forma que parezca un concurso, de esta forma el usuario rellenará sus datos y se los facilitará vía postal al atacante.

Phishing

Phishing

Phishing

b) Pagos mediante Paypal, Mastercard, Visa, etc

El Phishing igualmente afecta a las pasarelas de pago más conocidas, mediante el envío de correos informativos a los usuarios. Como prácticamente toda la población usa algún tipo de tarjeta de débito/crédito estos correos suelen considerarse reales por parte del usuario atacado sin darse cuenta que se trata de correos fraudulentos.

Las excusas más utilizadas en este punto son similares a las utilizadas contra las entidades bancarias. Cierre incorrecto de la sesión, mejoras en las medidas de seguridad, un pago no realizado, etc. Y al igual que el punto anterior el objetivo es el robo de datos bancarios.

Phishing

En este correo de Mastercard el truco ha sido mucho más disimulado. La dirección aparentemente es la correcta, y el correo está libre de faltas ortográficas, sin embargo, al analizarlo más en profundidad vemos como la URL lleva directamente a una página sin el certificado de seguridad y totalmente distinta a la que figura visualmente. Además la cabecera del correo con un “Estimado Socio” y la urgencia en actuar ya crea sospechas.

Phishing

c) Redes sociales

Las redes sociales se han convertido en un objetivo claro de este tipo de delincuentes, juegan con la privacidad de la gente y sobre todo con la curiosidad del usuario. Las excusas más usadas son por ejemplo que alguien te ha enviado un mensaje privado y debes abrirlo o se borrará, conexiones anómalas en tu cuenta o un cambio de claves por la seguridad del usuario.

Estos ataques suelen ampararse además en recientes noticias publicadas de filtraciones de datos en redes sociales para convencer al usuario de la necesidad de cambiar sus claves desde el enlace facilitado.

El objetivo de estos ataques son el robo de datos privados, robo de cuentas, suplantación de identidad, o lo que es más peligroso, debido a que muchos usuarios usan sus redes sociales como registro en muchas otras páginas al robarte la cuenta pueden tener acceso a cientos de páginas y plataformas en las que el usuario estuviera registrado.

Phishing

d) Mercados online

Los marketplaces tampoco están exentos de intentos de Phishing. Las excusas más frecuentes son la actualización del uso del servicio, movimientos sospechosos de la cuenta, o problemas con el usuario que pueden llevar a cerrar la cuenta de manera inmediata. El objetivo en este punto sería el robo de datos bancarios para su posterior estafa mediante compras no autorizadas.

Phishing

Phishing

e) Servicio técnico de empresas

Las grandes empresas como Outlook, Gmail, Apple, Microsoft, etc tampoco se salvan de ser usadas para realizar este tipo de ataques. Las excusas comúnmente usadas son la de confirmación de cuenta del usuario, mejoras en las condiciones del servicio, superar el límite de capacidad de la cuenta, actividad sospecha del usuario, etc.

Mediante este ataque el atacante se haría con la propiedad de la cuenta, con todo lo que ello supone, el acceso a los archivos almacenados es el menor de los males. Sin duda el más peligroso es tener total acceso a su plataforma de correo electrónico, con lo que el atacante tendría total acceso a todos los servicios online del usuario, incluso acceso a datos personales de entidades bancarias o de servicios públicos que usara esa cuenta de correo electrónico.

Phishing

Phishing

Phishing

f) Servicios de almacenamiento en la nube

Los ataques en los servicios de almacenamiento en la nube son otra de la modalidad, aunque comparten metodología mediante el envío de un correo electrónico fraudulento. Las excusas más utilizadas son exactamente las mismas que en los casos anteriores. La actualización de los datos del usuario, un acceso anómalo, cambio en la seguridad de la cuenta, etc.

El objetivo está claro, hacerse con el control y el dominio de los datos almacenados, contengan estas cuentas cualquier tipo de información. Recordemos que en los últimos años han salido a la luz escándalos sobre robos en cuentas de personas conocidas y de empresas con una gran filtración de datos comprometidos.

Phishing

g) Suplantación de identidad a servicios o empresas públicas

Este tipo de estafas pueden producirse con la misma facilidad respecto a empresas y servicios públicos. Recordemos que lo único necesario es descargarse una imagen actualizada del portal de acceso del usuario para justo después modificar un par de parámetros para hacerse con una página clon válida para el Phishing, con lo que cualquier servicio o página que esté en internet puede ser usada con este fin.

Las excusas y los objetivos son comunes al resto de escenarios. El robo de información privada o estafas económicas a nombre del usuario afectado mediante correos de información de una irregularidad en la cuenta, actualización de servicios, una posible multa, etc. Empresas conocidas afectadas en este punto son algunas como La Agencia Tributaria, Policía Nacional o Correos y Telégrafos.

Phishing

Phishing

h) Servicios de Paquetería

Las agencias de envío de paquetería o mensajería han sido usadas también para este tipo de usos. Recibir correos sobre una incidencia en un envío o en la recepción de un paquete pueden originar que el usuario afectado acceda a la página infectada con sus datos privados, de esta forma el atacante se haría con información como el DNI, dirección, o teléfono del atacado, o dependiendo de la complejidad del engaño es posible hacerse con otros datos como cuentas bancarias.

Por tanto el objetivo de estos ataques es el robo de información privada, uso fraudulento de los servicios de paquetería para fines ilegales o el robo de cuentas bancarias.

Phishing

i) Ofertas de empleo

Con la excusa de ofertar un puesto de trabajo un atacante desconocido puede hacerse con cualquier dato personal de la persona atacada. Normalmente estos correos se envían a cientos de personas simultáneamente, de esta forma es fácil encontrar a alguien especialmente necesitado de un trabajo, lo que hace que sea fácil engañarlo con la promesa de un puesto laboral.

Mediante este engaño el atacante puede acceder a todo tipo de información del atacado, e incluso a los datos de la cuenta bancaria.

Phishing

j) Correos sobre donaciones o ayudas internacionales

Todos en nuestros correos hemos recibido alguna vez una notificación de alguien interesado en ofrecernos un pago cuantioso si aceptábamos una serie de condiciones. Desde la ayuda antiterrorismo internacional, como el depósito de una  herencia de nuestro primo lejano en Nigeria.

El gancho en este tipo de correos es el de recibir una parte muy alta de una cantidad de dinero desorbitada con el menor de los esfuerzos. El peligro de aceptar este tipo de correos es el robo inmediato de nuestra cuenta bancaria y todos nuestros datos personales.

Phishing

k) Plataformas de ocio Online

Existen infinidad de plataformas de ocio online, con lo que el foco en este caso suelen ser los más pequeños de la casa, por lo que voy a incluir esta categoría a modo de prevención.

Con la excusa de un fallo de seguridad en la cuenta del usuario, de una actualización o de un regalo de bienvenida los atacantes pueden obtener cualquier dato personal del usuario atacado o de sus allegados. Estos datos pueden ser desde el teléfono personal, una dirección postal, las claves del correo electrónico o datos aún más personales.

Phishing

 

Protección contra el Phishing

El Phishing o suplantación de identidad, como se ha explicado antes, es relativamente fácil de hacer. Muchos antivirus o gestores de correo electrónico ya identifican de forma automática este tipo de ataques, pero al tratarse de una página web en el caso más general es bastante difícil que el antivirus y el correo electrónico lo identifique siempre, por lo que tener especial cuidado con este tipo de correos electrónicos es fundamental.

Las empresas y las páginas de servicios están haciendo muchos esfuerzos en mejorar sus sistemas de seguridad y en informar a los empleados sobre estos riegos, pero al tratarse de páginas clon es el usuario final el que debe ser consciente de los riesgos a los que se enfrenta. En el caso de caer en la trampa es necesario notificar este problema de forma inmediata, puesto que una rápida contramedida cambiando claves y permisos es fundamental para anular la amenaza. Es recomendable ponerse en contacto con la empresa o entidad financiera para informarles en el caso de ser víctima de este tipo de estafas.

Consejos para evitar ser víctima de Phishing

  • Sentido común, como la medida más importante de todos los usuarios.
  • Sé precavido ante los correos que aparentan ser de entidades bancarias o servicios conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos, Agencia Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o  extraños.
  • No abra adjuntos de correos electrónicos no solicitados.
  • Mantenga buenos hábitos y no responda a enlaces en correos electrónicos no solicitados o en Facebook.
  • Sospecha si hay errores gramaticales en el texto, pueden haber utilizado un traductor automático para la redacción del mensaje trampa. Ningún servicio con cierta reputación enviará mensajes mal redactados.
  • Filtros de correo no deseado, anti spam y anti Phishing de los correos electrónicos más conocidos.
  • Si recibes comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.
  • Verifica la legitimidad del sitio web. Fíjate siempre en la URL de la página en la que estés para asegurarte que estás en la página web oficial en la que querías estar y no se trata de una web que la está suplantando.
  • Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com, @outlook.com o cualquier otro similar, sospecha.
  • Si aún duda de su veracidad, llame o concurra a su banco y verifique los hechos.
  • Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal.
  • Filtro SmartScreen en Internet Explorer (ver aquí)
  • Protección de Malware y Phishing en Mozilla Firefox (ver aquí)
  • Protección contra Phishing y software malicioso en Chrome (ver aquí)
  • Protección contra el Phising en Safari (ver aquí)
  • Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.
  • Proteja sus contraseñas y no las revele a nadie.
  • No proporcione información confidencial a nadie por teléfono, en persona o a través del correo electrónico.
  • Mantenga actualizado su navegador y aplique los parches de seguridad.

Si de todas formas te ha llegado un correo Phishing

  • Bajo ningún concepto aceptes las peticiones de información de este tipo de correos, prometan lo que prometan.
  • No sigas los enlaces que figuren en estos correos, puesto que aunque no metas ningún tipo de información pueden rastrearte e inyectarte un keylogger en tu ordenador para monitorizar las teclas usadas en tu sesión de usuario.
  • Puedes ver la ruta de un correo simplemente poniendo el cursor del ratón encima del enlace, ahí verías la ruta completa e identificar rápidamente si es falsa o no si no tiene nada que ver con la empresa que dicen que es.
  • No contestes a este tipo de correos, jamás.
  • No descargues archivos adjuntos y mucho menos los ejecutes.
  • Casi todos los correos tienen una opción para marcar un correo como “suplantación de identidad”, hazlo.
  • Elimina este correo incluso de la papelera de tu correo, y avisa a tus compañeros inmediatamente.

Cómo reconocer un mensaje de tipo Phishing

Recepción del correo

Lo más normal cuando alguien ataca usando Phishing es la generación de un correo electrónico falso que simule proceder de una determinada compañía o entidad. El correo siempre tratará de imitar totalmente a la compañía copiada. En este correo electrónico existirán diversos enlaces o directamente una gran imagen con un enlace a una página web.

Sin embargo, el canal de contacto para llevar a cabo estos delitos no se limita exclusivamente al correo electrónico, sino que también es posible realizar ataques de Phishing a través de SMS, conocido como smishing, o de telefonía IP, conocido como vishing.

En el smishing el usuario recibe un mensaje de texto intentando convencerle de que visite un enlace fraudulento. En el vishing el usuario recibe una llamada telefónica que simula proceder de una entidad bancaria solicitándole que verifique una serie de datos.

Distinguir un mensaje de Phishing de otro tradicional o legítimo puede no ser fácil para cualquier usuario, especialmente cuando da la casualidad que el atacado es realmente cliente de la entidad copiada de la que supuestamente ha llegado el mensaje.

En el campo del remitente el mensaje suele mostrar una dirección de la compañía suplantada, esto es muy sencillo de realizar, por lo que no debemos fiarnos únicamente del correo del remitente.

El correo puede presentar imágenes y datos sacados directamente de la web original suplantada.

El enlace que contiene el correo parece proceder de la compañía, pero en realidad nos lleva a una ruta bastante diferente. Hay enlaces en el correo que pueden ser copiados de la empresa copiada por lo que tendremos que fijarnos en el enlace donde se nos requiera meter nuestros datos como contraseñas.

Estos correos electrónicos pueden presentar errores gramaticales o defectos en las traducciones.

Contenido sospechoso

Lo primero que debemos tener en cuenta es que en el pishing siempre se persigue la finalidad de robarnos los datos, con lo que el correo siempre va a ser alarmista o requerir hacer login en algún link, con lo que nuestras alarmas deben saltar de inmediato. Así mismo dependiendo de la modalidad del Phishing nos pueden solicitar cambios en nuestra dirección de facturación o el envío de información confidencial.

El intento de suplantación puede proceder de una red social, plataforma de pago, banco, servicio público, etc.

Phishing

Phishing

En el Phishing se suele intentar asustar al usuario y obligarle a seguir una serie de pasos para solucionar la situación. Bajo las excusas de actualización de seguridad, actividad anómala de la cuenta, robo de credenciales, etc, se busca intimidar al usuario para que actúe rápido y bajo las condiciones del correo fraudulento.

Faltas de ortografía

Normalmente en estos correos falsos se puede observar una gran cantidad de faltas ortográficas. Las “ñ” suelen aparecer como “n”, palabras sin acentuar o con exceso de tildes o incluso la propia estructura semántica suele estar cambiada.

Phishing

Esto sucede porque muchas veces el infractor usa programas automáticos de traducción en tiempo real, que no suelen ser del todo precisos. Identificar este tipo de faltas ortográficas en los correos suele ser indicio claro de correos fraudulentos.

  • Fallos semánticos: artículos “el” o “la” intercambiados.
  • Palabras con símbolos extraños: donde deberían estar palabras acentuadas como por ejemplo: “DescripciÃ?n”. Este caso aparece al intentar escribir vocales acentuadas en un teclado no español.
  • Frases mal construidas.

Si detectamos que el correo tiene una ortografía pobre y su escritura es informal, debemos estar alerta.

Destinatario del correo

Con el envío de estos correos masivos resulta imposible personalizar los correos con los datos del destinatario. Por este motivo se usan expresiones como “Hola Amigo”, o “Querido Cliente”.

Si recibimos un correo con estas expresiones y además se nos solicita hacer algún tipo de trámite, se debe sospechar en el acto de la intencionalidad del correo.

Phishing

Una entidad pública o privada al dirigirse a un cliente siempre incluirá en el correo datos privados cifrados en mayor o menor medida, como tu teléfono, DNI, dirección, nombre y apellidos, etc. Si recibimos un correo totalmente genérico posiblemente sea un intento de estafa.

Urgencia

Como decíamos antes, el delincuente siempre va a crear una necesidad de urgencia en el usuario, esto se hace para que no tenga tiempo de pensar y actúe rápidamente bajo las indicaciones del delincuente.

Phishing

Dirección del enlace

Los enlaces de estos correos electrónicos suelen esconder URL o direcciones de acceso web. Estos enlaces suelen llevar a páginas webs que suelen copiar la apariencia de la página copiada, pero llenas de código malicioso con el que robar nuestras credenciales en el acto.

Podemos ver estas direcciones sin entrar a ellas simplemente poniendo el cursor del ratón encima de los links del correo. En seguida podremos ver encima del cursor, o bien en el pie de página la dirección completa a la que se dirige el enlace.

Se puede identificar fácilmente si el enlace no es fiable viendo la url. Si nos escribe Google sería raro que el enlace comenzara por “webservices.003.ch/services/att” o similar. Esto es válido para cualquier enlace o empresa, siempre debe comenzar con una url válida, en caso contrario ya podéis identificar que será Phishing.

Phishing

Phishing

Se recomienda no acceder nunca a una página web desde un enlace de correo electrónico. Lo más fiable es que si nos escriben de una página web, ingresemos a dicha página desde la barra de direcciones del navegador, así nos aseguramos que estamos yendo al sitio correcto.

Remitente del correo

Aunque cambiar el remitente de un correo es relativamente sencillo para cualquier usuario, puede ser una pista si el atacante no lo ha hecho y lo ha dejado descubierto.

Si la dirección remitente no concuerda con el cuerpo del correo electrónico será casi con toda la seguridad un intento de suplantación de identidad. Si nos escribe paypal pero el remitente es de @hotmail.com ya sabemos lo que debemos hacer.

Phishing

Phishing

Sin embargo, el hecho de que el correo provenga de un correo aparentemente correcto no es indicio concluyente de la legitimidad del mismo. El remitente de un correo electrónico puede ser manipulado y los delincuentes son capaces de enviar correos con el remitente falsificado en nombre de entidades.