Nuestro primer movimiento siempre es confiar en el otro’ decía en una entrevista Kevin Mitnick, uno de los hackers más famosos de la historia.
Esta es una de las verdades que más daño han hecho a los usuarios de Internet, esta realidad es una de las causas por las que las personas somos el elemento más frágil de la seguridad de la información.
A pesar de ello, cada vez estamos más concienciados, pero en muchos entornos continúa sucediendo, un día normal en la oficina, recibimos un correo, de forma automática hacemos click y…
‘Manos a la cabeza, llamar al soporte, horas sin poder usar el equipo, se acumula el trabajo, la organización pierde dinero…y un largo etc’.
Algunos de los ataques más utilizados por los malos se basan técnicas conocidas como Phishing, y con este post queremos ayudar a que podáis reconocer estos ataques y también algunas recomendaciones al detectarlo.
Pero antes, entremos en materia.
¿Qué es el Phsihing?
El Phishing es un ataque que se apoya en la ingeniería social y mediante el cual un ciberdelincuente intenta infectar a una víctima con Malware u obtener de forma fraudulenta información confidencial, ingresos de efectivo, contraseñas, cuentas bancarias…
Ahora vamos a nombrar algunos formatos en los que se manifiesta el Phishing, aunque en muchos casos, el ataque se puede materializar combinando varios de estos:
Formatos del Phishing
Correo electrónico
Suele ser el formato más utilizado, en el que se recibe un correo de alguien simulando ser una entidad u organismo suplantando a la entidad real para obtener datos del destinatario o infectarlo con Malware oculto en sus archivos adjuntos.
Mensaje
Se recibe un SMS / Mensaje a través de APPS o Redes sociales en el que se solicita información o se anuncia una oferta, estos últimos suelen contener enlaces a páginas web también fraudulentas.
Llamada telefónica
A través de una llamada en la que el emisor se hace pasar por otra persona o entidad para que le facilitemos información o datos privados.
Página web
Simulando visualmente el portal web de una entidad oficial, como una red social, un banco o un servicio de pago pero en realidad siendo una imitación de estos portales.
Ventanas emergentes en el navegador
Ventanas que saltan al visitar algunos sitios web y que promocionan ofertas surrealistas donde es necesario que el usuario facilite sus datos.
¿Cómo detectarlo?
Correo electrónico
- Revisar si el correo es genuino. Desconfiar de generalizaciones como el típico correo no deseado que empieza ‘Estimado cliente…’ esto servirá para reconocer si es un mail genérico.
- Desconfía de cualquier archivo adjunto en el correo si no lo has solicitado, tampoco confíes en que el formato del archivo coincide con la extensión que diga ser.
- Si el correo tiene algún enlace, pasa el cursor por encima (sin hacer click) para ver la dirección real a la que nos lleva.
- Analizar las cabeceras del correo, con estas se puede realizar un seguimiento de la trayectoria que ha seguido el mail desde que el emisor pulsó ‘Enviar’, también proporciona información sobre los servidores por los que ha ido pasando y datos relativos al emisor y al receptor. Este análisis de cabeceras se puede hacer utilizando herramientas como Messageheader, Mxtoolbox, etc.
Mensaje
- Una entidad oficial nunca solicitará información personal a través de SMS o mensajes privados en una APP.
Llamada telefónica
- Una entidad oficial nunca solicitará información personal a través de una llamada telefónica.
Página web
- Fijarse en la dirección de la página, facebook.com no es lo mismo que www.facebookc.om.
- Si es una página de compras, desconfía si ofrecen precios demasiado bajos, igual que si no facilitan la dirección física o teléfono de contacto.
- Pese a no ser una solución como tal, en muchos casos es de ayuda comprobar que la URL contiene HTTPS.
Mirando la barra de navegación puede verse a simple vista.
- A través de herramientas web como https://www.virustotal.com/#url o https://app.phish.ai/#/scan_url se puede comprobar si un sitio web es legítimo.
Ventana emergente
- Utilizar el sentido común, lamentablemente, nadie nos va a reglar un Iphone X 🙁
¿Crees que sabrías diferenciar un caso de Phishing?
Ponte a prueba con este test: https://www.opendns.com/phishing-quiz/
¿Cómo actuar al detectarlo?
Correo electrónico
- Bloquear la dirección del remitente.
- Bloquear el dominio del remitente.
- En un entorno corporativo, ponerse en contacto con el departamento de seguridad para que confirmen si el correo es legítimo o no.
- Si es posible, establecer bloqueos a nivel perimetral.
SMS/Mensaje
- No responder al SMS, pues estaríamos evidenciando que nuestro número de teléfono está activo.
- No hacer click en los enlaces incluidos en los mensajes.
- No reenviar el mensaje recibido en la red social/APP, podría afectar al resto de nuestros contactos.
Llamada telefónica
- No facilitar nunca nuestros datos por teléfono.
- Pese a no servir como garantía, solicitar información sobre la persona con la que estamos hablando, si el Phishing está bien hecho, se habrán creado perfiles falsos en las redes, pero si contactamos con la entidad a través de su contacto oficial podríamos cotejar estos datos.
- En caso de duda, finalizar la llamada y llamar al número oficial de la entidad para consultar si se han puesto en contacto contigo realmente.
Página web / Ventana emergente
- Si es una página de compras por internet, busca otro sitio para realizar la compra.
- Cerrar la ventana.
- Bloquear la página con una extensión para nuestro navegador.
En todos los casos, siempre es recomendable ponerse en contacto con la entidad a través de su vía oficial para confirmar si, ciertamente, se han puesto en contacto contigo o, en caso de negativa, informarles que han intentado suplantarles. Haciendo esto podríamos haber detectado una campaña masiva de Phishing.
Siempre es de agradecer cuando se detecta un caso de Phishing, informar al resto de la comunidad.
Vías más utilizadas:
https://www.osi.es/es/reporte-de-fraude
https://twitter.com/ , a través de los hashtags #stopbulos , #phishing , etc
Siguiendo estos consejos y recomendaciones seguro que conseguiremos paulatinamente, que el factor humano deje de ser el eslabón más débil en la seguridad de la información.
Espero que hayáis encontrado este post de interés y para cualquier duda ya sabéis donde encontrarme.