“Nuestro primer movimiento siempre es confiar en el otro” decía en una entrevista Kevin Mitnick, uno de los hackers más famosos de la historia.

Esta es una de las verdades que más daño han hecho a los usuarios de Internet, esta realidad es una de las causas por las que las personas somos el elemento más frágil de la seguridad de la información.

A pesar de ello, cada vez estamos más concienciados, pero en muchos entornos continúa sucediendo, un día normal en la oficina, recibimos un correo, de forma automática hacemos click y…

Ilustración 1 – Ransomware Petya

“Manos a la cabeza, llamar al soporte, horas sin poder usar el equipo, se acumula el trabajo, la organización pierde dinero…y un largo etc”.

Algunos de los ataques más utilizados por los malos se basan técnicas conocidas como Phishing, y con este post queremos ayudar a que podáis reconocer estos ataques y también algunas recomendaciones al detectarlo.

Pero antes, entremos en materia.

¿Qué es el Phsihing?

El Phishing es un ataque que se apoya en la ingeniería social y mediante el cual un ciberdelincuente intenta infectar a una víctima con Malware u obtener de forma fraudulenta información confidencial, ingresos de efectivo, contraseñas, cuentas bancarias…

Ahora vamos a nombrar algunos formatos en los que se manifiesta el Phishing, aunque en muchos casos, el ataque se puede materializar combinando varios de estos:

Formatos del Phishing

Correo electrónico

Suele ser el formato más utilizado, en el que se recibe un correo de alguien simulando ser una entidad u organismo suplantando a la entidad real para obtener datos del destinatario o infectarlo con Malware oculto en sus archivos adjuntos.

Ilustración 2 – Correo Phishing suplantando a Endesa

Mensaje

Se recibe un SMS / Mensaje a través de APPS o Redes sociales en el que se solicita información o se anuncia una oferta, estos últimos suelen contener enlaces a páginas web también fraudulentas.

   

lustración 3 – Ejemplos de Phishing en SMS/Apps

Llamada telefónica

A través de una llamada en la que el emisor se hace pasar por otra persona o entidad para que le facilitemos información o datos privados.

Ilustración 4 – Representación de Phishing por teléfono

Página web

Simulando visualmente el portal web de una entidad oficial, como una red social, un banco o un servicio de pago pero en realidad siendo una imitación de estos portales.

Phishing de Facebook, la dirección web no es legítima
Ilustración 5 – Phishing de Facebook, la dirección web no es legítima

Ventanas emergentes en el navegador

Ventanas que saltan al visitar algunos sitios web y que promocionan ofertas surrealistas donde es necesario que el usuario facilite sus datos.

Phishing Iphone X
Ilustración 6 – “No sé Rick, parece falso”

¿Cómo detectarlo?

Correo electrónico

  • Revisar si el correo es genuino. Desconfiar de generalizaciones como el típico correo no deseado que empieza “Estimado cliente…” esto servirá para reconocer si es un mail genérico.
  • Desconfía de cualquier archivo adjunto en el correo si no lo has solicitado, tampoco confíes en que el formato del archivo coincide con la extensión que diga ser.
archivo "legit"
Ilustración 7 – archivo “legit”
  • Si el correo tiene algún enlace, pasa el cursor por encima (sin hacer click) para ver la dirección real a la que nos lleva.
  • Analizar las cabeceras del correo, con estas se puede realizar un seguimiento de la trayectoria que ha seguido el mail desde que el emisor pulsó “Enviar”, también proporciona información sobre los servidores por los que ha ido pasando y datos relativos al emisor y al receptor. Este análisis de cabeceras se puede hacer utilizando herramientas como Messageheader, Mxtoolbox, etc.

Mensaje

  • Una entidad oficial nunca solicitará información personal a través de SMS o mensajes privados en una APP.

Llamada telefónica

  • Una entidad oficial nunca solicitará información personal a través de una llamada telefónica.

Página web

  • Fijarse en la dirección de la página, facebook.com no es lo mismo que www.facebookc.om.
  • Si es una página de compras, desconfía si ofrecen precios demasiado bajos, igual que si no facilitan la dirección física o teléfono de contacto.
  • Pese a no ser una solución como tal, en muchos casos es de ayuda comprobar que la URL contiene HTTPS.

Mirando la barra de navegación puede verse a simple vista.

Chrome:

Firefox:

Edge:

Ventana emergente

  • Utilizar el sentido común, lamentablemente, nadie nos va a reglar un Iphone X 🙁

¿Crees que sabrías diferenciar un caso de Phishing?

Ponte a prueba con este test: https://www.opendns.com/phishing-quiz/

¿Cómo actuar al detectarlo?

Correo electrónico

  • Bloquear la dirección del remitente.
  • Bloquear el dominio del remitente.
  • En un entorno corporativo, ponerse en contacto con el departamento de seguridad para que confirmen si el correo es legítimo o no.
  • Si es posible, establecer bloqueos a nivel perimetral.

SMS/Mensaje

  • No responder al SMS, pues estaríamos evidenciando que nuestro número de teléfono está activo.
  • No hacer click en los enlaces incluidos en los mensajes.
  • No reenviar el mensaje recibido en la red social/APP, podría afectar al resto de nuestros contactos.

Llamada telefónica

  • No facilitar nunca nuestros datos por teléfono.
  • Pese a no servir como garantía, solicitar información sobre la persona con la que estamos hablando, si el Phishing está bien hecho, se habrán creado perfiles falsos en las redes, pero si contactamos con la entidad a través de su contacto oficial podríamos cotejar estos datos.
  • En caso de duda, finalizar la llamada y llamar al número oficial de la entidad para consultar si se han puesto en contacto contigo realmente.

Página web / Ventana emergente

  • Si es una página de compras por internet, busca otro sitio para realizar la compra.

    Ilustración 9 – Logo extensión Ublock
  • Cerrar la ventana.
  • Bloquear la página con una extensión para nuestro navegador.

En todos los casos, siempre es recomendable ponerse en contacto con la entidad a través de su vía oficial para confirmar si, ciertamente, se han puesto en contacto contigo o, en caso de negativa, informarles que han intentado suplantarles. Haciendo esto podríamos haber detectado una campaña masiva de Phishing.

Siempre es de agradecer cuando se detecta un caso de Phishing, informar al resto de la comunidad.

Vías más utilizadas:

https://www.osi.es/es/reporte-de-fraude

https://twitter.com/ , a través de los hashtags #stopbulos , #phishing , etc

Siguiendo estos consejos y recomendaciones seguro que conseguiremos paulatinamente, que el factor humano deje de ser el eslabón más débil en la seguridad de la información.

Espero que hayáis encontrado este post de interés y para cualquier duda ya sabéis donde encontrarme.