04 May Phishing: ¿qué es y cómo evitarlo? Consejos para identificarlo
Desde el comienzo de la pandemia hemos podido comprobar cómo se sucedían los ataques a páginas web, a sistemas de videoconferencia, a aplicaciones móviles e incluso a hospitales. Pero las campañas de phishing de estos días están siendo, como casi siempre, lo más notable y lo que está aprovechado el eslabón más débil de la ciberseguridad: el usuario.
Nos encontramos en una situación como no recordamos otra igual; y no la recordamos porque nunca hemos vivido nada parecido. Cualquier estado de alarma, como el que vivimos en el momento en que se redacta esta entrada, crea en la sociedad miedo, ansiedad y confusión, y estos tres parámetros son los que están siendo aprovechados por los ciberdelincuentes para lanzar diferentes tipos de ciberataques con mayor o menor éxito.
Seguramente algunos os preguntaréis hasta qué punto llega la maldad de algunas personas para aprovecharse de algo tan serio como la actual pandemia de COVID-19; los ciberdelincuentes solo ven los tres parámetros antes mencionados, sin importar la situación que los provoca, salvo para disfrazar sus actos.
Por ese motivo, en esta entrada del blog se pretende, para quienes no estén familiarizados con ese tipo de ciberataques, dar a conocer y divulgar una serie de pautas y de consejos básicos para identificar un correo phishing, utilice el gancho que utilice.
¿Qué es el phishing?
El phishing es una técnica utilizada por los ciberdelincuentes para intentar engañar al usuario con el fin de robarle datos personales. En la mayoría de los casos se trata de sustraer lo siguiente:
- Credenciales de acceso a servicios de banca online y audiovisuales.
- Tarjetas de pago: número de tarjeta, fecha de caducidad y código CVV
- Credenciales de acceso a cuentas de correo electrónico y redes sociales.
Este tipo de ciberataque está basado ante todo en la ingeniería social, la cual está definida en la Wikipedia como <<la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos>>.
El método phishing clásico consiste en el envío a la posible víctima un correo electrónico fraudulento, el cual suplanta al servicio del que se quieren sustraer las credenciales del usuario. Una vez conseguido el robo de dichas credenciales, los ciberdelincuentes pueden hacer uso de ellas para dos fines: sacar beneficio directo, sobre todo si son datos de tarjetas de pago o de acceso a banca online, para robar dinero a la víctima o, por otro lado, proceder a vender esos datos personales, generalmente en la Dark Web.
Variantes del phishing
Existen algunas variantes del phishing convencional de las cuales conviene conocer las siguientes:
- Vhishing: también conocido como phishing por voz porque, en lugar de enviar un correo electrónico, se realiza una llamada telefónica. Hablando directamente con la víctima se intenta hacer creer que le llama un empleado de la empresa que se está suplantando para solicitarle datos confidenciales por diferentes motivos.
- Smishing: también conocido como phishing por SMS porque se envía a la víctima un mensaje de texto al móvil o también un mensaje directo a través de cualquier aplicación de mensajería instantánea, en la mayoría de los casos por Whatsapp.
- Spear Phishing: también conocido como phishing dirigido. Esta variante hace un notable uso de la ingeniería social. Consiste en fijar un objetivo concreto (una persona o grupo de personas) y realizar un estudio previo de sus actividades, gustos, entorno, etc. Una vez recabados la mayor cantidad de datos posible se procede al envío de un correo electrónico con contenido altamente personalizado, lo que aumentará notablemente la probabilidad de que la víctima caiga en la trampa.
- Man-in-the-Middle Phishing: un ciberdelincuente se “posiciona” entre el equipo de la víctima y el servidor (de un banco, una red social, etc.), permitiendo a aquel capturar el tráfico de datos (incluidas credenciales). Es una de las variantes de phishing más temidas, ya que su actividad es muy difícil de detectar.
¿Cómo identificar un correo de phishing?
La primera regla es desconfiar de cualquier correo que no esperabas recibir. Esto debería bastar para prestar especial atención a ese email no esperado. A partir de ahí, vamos a ver unas pautas básicas para reconocer un correo fraudulento, basándonos en una reciente campaña de phishing que suplantaba a PayPal, pero aplicable a otras. El modelo de email era el siguiente:
Analizando este email se ha podido descubrir lo siguiente:
- El remitente utiliza un alias para su dirección de correo (service@intl.paypal.com), que en realidad es updtcfnrm-xhtrwdpc8497041@g45uy76ii7.com y que, como se puede comprobar en el dominio de la dirección (@g45uy76ii7.com), nada tiene que ver con PayPal.
- En el cuerpo del mensaje hay dos enlaces incrustados, uno en la imagen “Secure your account” y el otro en el texto “Recover your account”. Ambos enlaces son idénticos y corresponden al sitio web https://f54uj756j6.com/r/wN2pRd6 que, claramente, no corresponde con ninguna página de PayPal. Esos sitios web fraudulentos suelen tener un diseño prácticamente igual al del legítimo, para continuar con el engaño a las víctimas y evitando que estas no se percaten de que no están en la página original del servicio. La dirección de un enlace se puede comprobar posicionado el curso del ratón encima de la imagen o texto que lo contiene. De no ser así, podemos hacer clic derecho sobre la imagen o el texto, seleccionar Copiar la ruta del enlace y luego pegar el link copiado en un Bloc de notas para revisarle. En este caso, la dirección URL del link es muy ‘retorcida’ y carece de sentido, pero hay ciberdelincuentes que hacen uso de direcciones engañosas muy parecidas a la legítima, como por ejemplo com, ppal.com o paypol.com.
- Otra pista es el idioma del email. Si posees una cuenta de PayPal y esta la creaste en su momento desde su web en español, el correo debería de estar en tu idioma.
Otros puntos a tener en cuenta en los correos phishing:
- Falta de personalización, es decir, la empresa con la que tienes contratado un servicio probablemente se dirigirá a ti por tu nombre en lugar de utilizar un saludo genérico.
- El correo informa de una detección de acceso no autorizado a la cuenta del servicio o, como en el ejemplo, que la cuenta ha sido limitada o bloqueada.
- En ocasiones, estos correos vienen con un archivo malicioso adjunto que, si se ejecuta, despliega un malware tipo troyano en el PC para ir recopilando datos que el usuario tenga registrados en el sistema, incluidas credenciales de cualquier tipo. Muchos de los correos phishing que incluyen un adjunto, lo presentan como una factura, y suele ser un archivo de Word o Excel con código malicioso incrustado o un archivo ejecutable .exe Es posible detectar este tipo de archivos con malware que vienen adjuntos en un correo contando con un buen antivirus instalado en el equipo o con un UTM protegiendo el tráfico de los protocolos de correo electrónico en toda la red.
Además de todo lo anterior, hay que tener presente las épocas del año en las que las campañas de phishing son más intensas, como por ejemplo la Navidad, el comienzo de la presentación de la Declaración de la Renta, eventos deportivos importantes (JJ.OO., mundiales, etc.), tiempo de vacaciones y catástrofes o crisis agudas, como la pandemia que actualmente sufrimos.
Notificar la recepción de un correo de phishing
Existe la posibilidad de reportar la recepción de un email fraudulento a la compañía que el correo de phishing está intentando suplantar. Eso servirá de ayuda para poder advertir a otros usuarios, para la investigación del origen y composición del correo y para bloquear esa campaña activa de phishing. Aquí algunos ejemplos:
Servicio | Renviar correo a… |
PayPal | spoof@paypal.com |
Amazon | stop-spoofing@amazon.com |
Netflix | phishing@netflix.com |
Apple | reportphishing@apple.com |
Fedex | abuse@fedex.com |
General
General |
incidencias@incibe.es |
Alertas de phishing
Por último, queremos indicar que existen muchos medios en Internet desde los que puedes estar informado sobre campañas activas de phishing y otras alertas de ciberseguridad. Recomendamos los siguientes:
- Avisos de seguridad de la OSI (Oficina de Seguridad del Internauta).
- Cuenta de Twitter de Malware Patrol: @MalwarePatrol
- Canal de Telegram de Pléyades IT: https://t.me/pleyades_it
- Cuenta de Twitter del Grupo de Delitos Telemáticos de la Guardia Civil: @GDTGuardiaCivil
Autor del artículo C. Zapico, Ciberseguridad IPS .
Contáctanos