Ataques de phishing

El phishing es un tipo de ataque de ingeniería social que a menudo se utiliza para robar datos de usuario, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito. Se produce cuando un atacante, haciéndose pasar por una entidad de confianza, engaña a una víctima para que abra un correo electrónico, un mensaje instantáneo o un mensaje de texto. El destinatario es engañado para hacer clic en un enlace malicioso, que puede conducir a la instalación de malware, la congelación del sistema como parte de un ataque ransomware o la revelación de información sensible. Este artículo hablará sobre los tipos de técnicas de phishing y la prevención.

Técnicas de phishing

phishing-prevencion-net4shield-netquatro

Aquí hay un breve vistazo a cinco amenazas comunes de phishing que a menudo surgen en la configuración de la empresa. Cada ejemplo cuenta con «Bob», un empleado de nivel medio en el departamento de finanzas que está tratando de pasar su ajetreado día y responder a cientos de correos electrónicos.

  1. Suplantanción de identidad – Bob recibe un correo electrónico de lo que cree que es su banco pidiéndole que confirme una transferencia bancaria. El correo electrónico lo lleva a un enlace que se parece al sitio web de su banco, pero en realidad es una copia «suplantada» pero idéntica del sitio web de su banco. Cuando llega a la página, ingresó su credencial, pero no pasó nada. Demasiado tarde, Bob acaba de dar su contraseña bancaria a un ciberdelincuente.loteria-internet-seguridad
  2. Lotería falsa – Bob recibe un correo electrónico diciendo que ha ganado un premio de un sorteo. Normalmente, Bob es demasiado inteligente para caer en este truco. Sin embargo, este correo electrónico proviene de su jefe, Joe, y hace referencia a una organización benéfica que ambos apoyan. Hace clic, y termina en una página falsa que carga malware.
  3. Actualización de datos – Bob recibe un correo electrónico de Joe diciéndole que eche un vistazo a un documento que se adjunta. El documento contiene malware. Bob puede que ni siquiera se dé cuenta de lo que ha pasado. Mira el documento, que parece normal. El malware resultante podría registrar sus pulsaciones de teclas durante meses, comprometer toda la red, y conducir a brechas de seguridad masivas en toda la organización.
  4. Abuso sentimental – Bob recibe un correo electrónico de alguien que dice ser el cuñado de Joe. Sufre de cáncer y ha cancelado su seguro. Le pide a Bob que done para ayudarlo a recuperarse de su enfermedad. Bob hace clic en el enlace y es llevado a un sitio de caridad falso. El sitio podría albergar malware o simplemente robar la información de la tarjeta de crédito de Bob a través de una falsa «donación en línea».
  5. Suplantación – Bob recibe un correo electrónico de su jefe Joe, quien dice que necesita dinero conectado a un proveedor conocido como prepago para un trabajo de emergencia. ¿Puede Bob transferirles el dinero de inmediato? Parece bastante rutinario. Bob envía el dinero a la cuenta solicitada. El dinero es imposible de rastrear y nunca se vuelve a ver.

Prevenir ataques de phishing

  1. Manténgase informado sobre las técnicas de phishing – Nuevas estafas de phishing se están desarrollando todo el tiempo. Sin mantenerse al tanto de estas nuevas técnicas de phishing, podría caer inadvertidamente presa de uno. Mantenga los ojos abiertos para noticias sobre nuevas estafas de phishing. Al enterarse de ellos tan pronto como sea posible, usted estará en un riesgo mucho menor de ser atrapado por uno. Para los administradores de TI, se recomienda encarecidamente que la formación continua de concienciación sobre seguridad y el phishing simulado para todos los usuarios mantengan la seguridad en primer lugar.
  2. ¡Piensa antes de hacer clic! – Está bien hacer clic en enlaces cuando estás en sitios de confianza. Hacer clic en enlaces que aparecen en correos electrónicos aleatorios y mensajes instantáneos, sin embargo, no es un movimiento tan inteligente. Pase el cursor sobre los enlaces de los que no está seguro antes de hacer clic en ellos. ¿Llevan a donde se supone que deben llevar? Un correo electrónico de phishing puede pretender ser de una empresa legítima y cuando se hace clic en el enlace al sitio web, puede parecerse exactamente al sitio web real. El correo electrónico puede pedirle que rellene la información, pero es posible que el correo electrónico no contenga su nombre. La mayoría de los correos electrónicos de phishing comenzarán con «Querido Cliente» por lo que debe estar alerta cuando se encuentre con estos correos electrónicos. En caso de duda, vaya directamente a la fuente en lugar de hacer clic en un vínculo potencialmente peligroso.
  3. Instalar una barra de herramientas antiphishing – Los navegadores de Internet más populares se pueden personalizar con barras de herramientas antiphishing. Tales barras de herramientas ejecutan comprobaciones rápidas en los sitios que está visitando y compararlos con listas de sitios de phishing conocidos. Si tropieza con un sitio malicioso, la barra de herramientas le alertará al respecto. Esta es sólo una capa más de protección contra las estafas de phishing, y es completamente gratis.
  4. Verificar la seguridad de un sitio – Es natural ser un poco cauteloso acerca de proporcionar información financiera sensible en línea. Sin embargo, siempre y cuando estés en un sitio web seguro, no deberías tener problemas. Antes de enviar cualquier información, asegúrese de que la dirección URL del sitio comience con «https» y debe haber un icono de candado cerrado cerca de la barra de direcciones. Comprobar fotambién son el certificado de seguridad del sitio. Si recibe un mensaje que indica que un determinado sitio web puede contener archivos maliciosos, no abra el sitio web. Nunca descargue archivos de correos electrónicos o sitios web sospechosos. Incluso los motores de búsqueda pueden mostrar ciertos enlaces que pueden llevar a los usuarios a una página web de phishing que ofrece productos de bajo costo. Si el usuario realiza compras en un sitio web de este tipo, los datos de la tarjeta de crédito serán accedidos por los ciberdelincuentes.
  5. Revise sus cuentas en línea regularmente – Si no visita una cuenta en línea durante un tiempo, alguien podría estar teniendo un día de campo con ella. Incluso si técnicamente no es necesario, consulte con cada una de sus cuentas en línea de forma regular. Entra en el hábito de cambiar tus contraseñas regularmente también. Para evitar estafas de phishing bancario y phishing de tarjetas de crédito, debe revisar personalmente sus estados de cuenta con regularidad. Obtenga estados de cuenta mensuales para sus cuentas financieras y revise todas y cada una de las entradas cuidadosamente para asegurarse de que no se han realizado transacciones fraudulentas sin su conocimiento.
  6. Mantenga su navegador actualizado – Parches de seguridad se liberan para los navegadores populares todo el tiempo. Se liberan en respuesta a las lagunas de seguridad que los phishers y otros hackers inevitablemente descubren y explotan. Si normalmente ignora los mensajes sobre la actualización de los navegadores, deténgase. En el momento en que haya una actualización disponible, descárguela e instálticala.
  7. Usar firewall– Los cortafuegos de alta calidad actúan como búferes entre usted, su computadora y los intrusos externos. Debe utilizar dos tipos diferentes: un firewall de escritorio y un firewall de red. La primera opción es un tipo de software, y la segunda opción es un tipo de hardware. Cuando se utilizan juntos, reducen drásticamente las probabilidades de que los hackers y los phishers se infiltren en su computadora o en su red.
  8. Prevenido con los Pop-Ups – Ventanas emergentes a menudo se hacen pasar por componentes legítimos de un sitio web. Con demasiada frecuencia, sin embargo, son intentos de phishing. Muchos navegadores populares le permiten bloquear las ventanas emergentes; puede permitirlos caso por caso. Si uno logra deslizarse a través de las grietas, no haga clic en el botón «cancelar»; tales botones a menudo conducen a sitios de phishing. En su lugar, haga clic en la pequeña «x» en la esquina superior de la ventana.
  9. Nunca des información personal – Como regla general, nunca debe compartir información personal o financieramente sensible a través de Internet. Esta regla se extiende todo el camino de vuelta a los días de América En línea, cuando los usuarios tenían que ser advertidos constantemente debido al éxito de las primeras estafas de phishing. En caso de duda, visite la página web principal de la empresa en cuestión, obtenga su número y llámelos. La mayoría de los correos electrónicos de phishing le dirigirán a páginas donde se requieren entradas para información financiera o personal. Un usuario de Internet nunca debe hacer entradas confidenciales a través de los enlaces proporcionados en los correos electrónicos. Nunca envíe un correo electrónico con información confidencial a nadie. Haz que sea un hábito comprobar la dirección del sitio web. Un sitio web seguro siempre comienza con «https».
  10. Usar software antivirus – Hay un montón de razones para utilizar el software antivirus. Las firmas especiales que se incluyen con el software antivirus protegen contra soluciones tecnológicas conocidas y lagunas. Sólo asegúrese de mantener su software actualizado. Nuevas definiciones se añaden todo el tiempo porque nuevas estafas también se están soñando todo el tiempo. La configuración antispyware y firewall debe utilizarse para evitar ataques de phishing y los usuarios deben actualizar los programas con regularidad. La protección del cortafuegos impide el acceso a archivos malintencionados bloqueando los ataques. El software antivirus analiza todos los archivos que vienen a través de Internet a su ordenador. Ayuda a prevenir daños en su sistema.

En Netquatro, ayudamos a las empresas a cubrir varios perímetros de seguridad dentro de sus empresas, desde la web con mecanismos de protección para dominios, hasta el aseguramiento de las estaciones de trabajo, en el servicio incluimos antivirus así como asistencia remota para brindar ayuda a los integrantes de la empresa.

Puede ampliar la información en:

Net4Shield Empresas

También puede contactarnos con:

https://netquatro.com/miportal/contact.php