Quizá todavía no esteis al tanto de los peligros que entraña el phishing. Se utiliza para el timo y el robo de identidades en Internet y se da mayoritariamente a través de correo electrónico. Tanto si estás familiarizado con el término como si no, en este post se explicarán unas nociones para estar un poco más precavidos ante estos peligrosos correos electrónicos y que no nos pillen por sorpresa.
Introducción
Mucha gente creemos que para estar protegido y poder proteger a tu entorno más cercano, lo más importante es conocer en profundidad los peligros a los que nos enfrentampos (sus causas, su funcionamiento y consecuencias) para así saber reconocerlos lo más rápido posible y poder defendernos o saber actuar en caso de vernos afectados.
Cuando terminé de leer el libro (y mientras lo leía) «Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails» de Christopher Hadnagy y Michele Fincher en seguida quise escribir sobre el tema para transmitir lo que había aprendido. Si tenéis la suerte de entender el inglés es un libro que recomiendo al 100%. Al igual que los anteriores libros de Chris como «Unmasking the Social Engineer: The Human Element of Security». Estos libros son de gran interés para quien quiera iniciarse en el conocimiento acerca del comportamiento humano así como en la ingeniería socia. También son de gran ayuda para la vida diaria para protegerte a ti y a los tuyos de los fraudes por internet, cada día más comunes.
¿Qué es el phishing?
Según el libro de Chris Hadnagy, Phishing Dark Waters el Phishing es la práctica de enviar correos electrónicos que parecen llegar de una fuente de toda confianza con el objetivo de influenciar o conseguir datos personales. Es una técnica que puede utilizar tanto ingeniería social como trucos muy técnicos. Puede ser un fichero adjunto con malware en un e-mail o también puede ser un enlace a un sitio malicioso que trata de engañarte para conseguir tus datos personales o descargar malware en tu dispositivo.
Más peligrosos todavía son los ataques de «spear phishing», que son dirigidos a una víctima o un grupo de víctimas en concreto y para los que se ha recabado información previa del objetivo y de su entorno por lo que son mucho más difíciles de detectar y es mucho más difícil protegerse contra ellos. Pueden ser emails haciendose pasar por una persona en apuros, alguna organización benéfica o red social, empresas de envío postal, por un banco o como con el spear phising pueden hacerse pasar incluso por una persona en la que realmente confías.
¿Como protegerse?
Recientemente, una amiga ha perdido su cuenta de correo por el timo de la verificación por sms. Te envian un e-mail haciéndose pasar por el administrador del servicio de correo electrónico que estes usuando diciendo que si no envias el codigo que te ha llegado por sms a tu móvil te desactivaran la cuenta de correo. Posteriormente envian un e-mail a todos tus contactos pidiendo ayuda economica porque se habia quedado sin dinero en otro pais y necesitaba regresar urgentemente.
En el primer e-mail utilizan contenido emocional, te amenazan con que si no envias el sms perderas tu valiosa cuenta de correo y todo el contenido que hay en ella. Además si no sabes que la identidad del remitente de los sms es facilmente manipulable y dificilmente verificable y tampoco sabes que un administrador de un servicio de correo jamás se pondrá en contacto contigo personalmente para pedirte ninguna clave puede hacer que envies el código actuando impulsivamente por miedo a perder tu correo. En el segundo e-mail de nuevo jugando con el contenido emocional para generar fuertes emociones y que la víctima tome una decisión precipitada para obtener grandes sumas de dinero.
Este tipo de phising mezcla varios tipos de phising por un lado pide grandes sumas de dinero difícilmente aceptable en princpio por una víctima ya que al ser una grande suma hará que la víctima se pregunte un poco más despacio que va a pasar con su dinero y por otro lado utiliza algo de investigación previa ya que para este timo hace falta conocer tanto el número de telefono móvil como el e-mail.
Reconocer un phishing
Hay algunos conceptos primordiales a la hora de detectar un phising que vienen explicados mejor y exhaustivamente en el libro de Chris Hadnagy pero que se resumen en:
Tener pensamiento crítico:
- ¿Conoces al remitente del e-mail?
- ¿Esperabas un e-mail de esa persona?
- ¿Eso que me solicitan es normal?
- ¿En el lenguaje del e-mail utilizan contenido emocional como miedo, curiosidad, avaricia, etc.?
- Y lo más importante, ¿te piden hacer algo específico?
Los timadores intentan desencadenar fuertes emociones en nosotros para nublarnos el juicio y que actuemos impulsivamente. Tomarse un minuto de calma para responder a estas preguntas mientras lees el e-mail antes de hacer nada más puede evitarnos un robo de identidad, un timo o algo peor.
Los carteristas del siglo XXI siguen siendo artistas del hurto pero ahora lo son cada vez más de manera digital. Ayuda a tus seres queridos conciencíando sobre la seguridad informática.
En la segunda parte seguiremos con los conceptos primorciales y algún ejemplo más.
Más información
- Los libros de Chris Hadnagy y su web: www.social-engineer.com
- La web de Anti-Phishing Working Group: www.apwg.org
- La carpeta de Spam de gmail.
- La bandeja de entrada de Hotmail.