Este tipo de fraude cibernético no es nuevo y ha salido en los medios de comunicación demasiadas veces como para poner en alerta a todos los directivos de entidades tanto públicas como privadas que siguen sin concienciar y sin formar en la materia a sus empleados, cifrándose las pérdidas en millones de euros.
La ANTPJI, alerta sobre una nueva campaña de correos electrónicos que intentan suplantar a entidades bancarias conocidas, un centro comercial reconocido y una empresa intermediaria de pagos en internet.
El correo avisa al usuario de que su cuenta ha sido bloqueada y solicita actualizar información. En el cuerpo del mensaje se facilita un enlace para poder acceder a una página falsa de acceso a su cuenta personal, a través de la cual se solicitan las credenciales de usuario y los datos personales y bancarios vinculados a la cuenta.
El equipo queda infectado en la mayoría de las ocasiones y trabaja como “zombie”, haciendo de puerta trasera para entrar en las empresas.
Si has recibido un correo de estas características, has accedido al enlace y facilitado tus credenciales, tus datos personales y bancarios, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido. Además, debes cambiar inmediatamente tu contraseña de acceso al servicio.
MUY IMPORTANTE: Si recibes un correo con estas características, no facilites ningún dato, no hagas clic en los enlaces, ni descargues adjuntos. Reenvía el correo a spoof@paypal.com, y acto seguido elimínalo de tu bandeja de entrada. Si tienes alguna duda, ponte en contacto con un perito informático www.antpji.com para que te asesore y salvaguardar las evidencias ya que son volátiles, y en un futuro las necesitaras.
Phishing, conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, existen muchas variables y se utilizan desde entidades bancarias, agencias gubernamentales, hasta empresas de reconocida reputación.
Los correos electrónicos Mediante ingeniería social, el ciberdelincuente envía correos electrónicos que solicitan amablemente que actualice, valide o confirme la información de una cuenta, sugiriendo a menudo que hay un problema. Entonces se le redirige a una página web falsa y se le embaucada para que facilite información sobre su cuenta, revelando datos sensibles como contraseñas de tarjetas de crédito, correos electrónicos, claves corporativas, seguridad social, números de teléfono, cuentas bancarias…. en donde se solicita completar datos personales (como contraseñas, claves bancarias, datos de tarjetas de crédito, u otra información confidencial).
Esto habilita la redirección a un sitio que, si bien se ve igual al original, resulta falso y una vez que la víctima detalla la información requerida se hace efectivo el robo de datos e incluso la identidad digital de la víctima para solicitar créditos, robar dinero, vender datos corporativos…
El avance meteórico de la tecnología, internet, aplicaciones, programas, móviles y su vinculación laboral, profesional e incluso personal, despierta el interés de los ciberdelincuentes que cada vez se profesionalizan en sus ataques, perfeccionando sus técnicas de engaño para ejecutar los ciberataques.
Es un fraude telemático muy común y ser víctima de él es fácil, recibiendo miles de denuncia que se colapsan al no haber una entidad de vigilancia activa y llega a colapsar la unidad de delitos informáticos de las policías.
En entornos corporativos, existe la variante el spear phishing, que consiste en un ataque dirigido a un usuario o grupo limitado de usuarios. En este caso, los atacantes buscan hacerse de información confidencial a través de correos electrónicos muy personalizados que presentan datos muy precisos capaces de engañar al destinatario, ya que el atacante cuentan con información de la víctima sacada normalmente de fuentes abiertas, amistades comunes, publicaciones y redes sociales donde dejamos demasiados datos y pistas sobre nuestros gustos, hábitos de vida, aficiones, viajes y familia, utilizando esta información para personalizar el ataque.
Este tipo de ataques está enfocado a las pequeñas y medianas empresas, en ocasiones a grandes organizaciones, con el objetivo de sustraer información sensible de ellas. Por lo que se vuelve fundamental dar a conocer al interior de las organizaciones de qué se trata este tipo de ataques y cuáles pueden ser sus consecuencias para que puedan estar preparadas para hacerle frente.
La manera es muy característica y la victima recibe un correo electrónico que aparenta ser de una persona o empresa conocida, con lo cual la fuente parece confiable. Por eso, los ciberatacantes se ven obligados a investigar a sus objetivos.
En esta materia como en muchas otras lo mejor para defenderse es el conocimiento.
Como reconocer el phishing.- Recibes correos electrónicos pidiéndote que reveles información personal mediante un correo o en un sitio web.
Como eliminar el pishing,- Aunque los señuelos de phishing no se pueden «eliminar», sin duda se pueden detectar. Monitorice su sitio web y esté al corriente de lo que debería y de lo que no debería estar allí. Si es posible, cambie los archivos principales de su sitio web periódicamente.
Como evitar el phishing.-
- Piense en digital, pero actué en analógico y no responda a enlaces en correos electrónicos no solicitados o en Facebook.
- Nunca abra adjuntos de correos electrónicos no solicitados o de usuarios conocidos y si el mensaje es personal y viene de una persona conocida, llámele y verifique que le ha mandado ese correo.
- Ten precaución al pinchar en enlaces y descargar ficheros adjuntos en correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
- Proteja sus contraseñas y no las revele a nadie, lo ideal es cambiarlas cada cierto tiempo.
- Verifique su identidad digital, limitando la información pública que se comparte en las redes sociales.
- Verifique siempre los mensajes, más aún cuando un correo electrónico pide abrir un archivo adjunto o hacer clic en un vínculo sospechoso. NUNCA envié información personal. Incluso las encuestas son utilizadas para conseguir información gratuita.
- Además, la implementación de sistemas o programas de seguridad es muy importante.
- No proporcione información confidencial a nadie por teléfono, en persona o a través del correo electrónico.
- Examine la URL del sitio (dirección web). En muchos casos de phishing, la dirección web puede parecer legítima, pero la URL puede estar mal escrita o el dominio puede ser diferente (.com cuando debería ser .gov).
- Todas las páginas web para realizar transferencias bancarias u otro tipo de transacción comienzan con https://. Si estamos frente a una dirección que no es así es preferible no realizar la operación.
- Mantenga actualizado su navegador y aplique los parches de seguridad.
- Evite el phishing instalando un antivirus y antiphishing.
