¿Está tu empresa preparada para un ataque de phishing?

Se trata de una simulación de ataque cibernético consistente en el envío de un email especialmente construido para engañar a un grupo de receptores previamente seleccionados e inducirle a pinchar un enlace o documento malicioso con objeto de robar información y/o introducir un software atacante en la organización.

El termino Phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima.

El estafador, conocido como “Phisher”, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas.

Los ladrones de identidad, simulando ser empresas legítimas, pueden utilizar el correo electrónico para solicitar información personal e inducir a los destinatarios a responder a través de sitios Web maliciosos.

Los ladrones de identidad suelen utilizar tácticas alarmistas o solicitudes urgentes para tentar a los destinatarios a responder.

Los sitios de robo de identidad parecen sitios legítimos, ya que tienden a utilizar las imágenes de copyright de los sitios legítimos.

Desde la AEPD han detectado varios tipos de nuevos delitos que se extienden por internet. El ataque de «phishing» a través de SMS, es conocido como «smishing», el usuario recibe un mensaje de texto intentando convencerle de que visite un enlace fraudulento.

El de telefonía es conocido como «vishing» (uso del teléfono con fines delictivos). El usuario recibe una llamada telefónica que simula proceder de una entidad bancaria solicitándole que verifique una serie de datos.

Cómo protegerte:

El principal muro de contención es no contestar automáticamente a ningún correo que solicite información personal o financiera. «Las empresas financieras o bancos no solicitan sus datos confidenciales o de tarjetas a través de correos».

Tampoco hagas clic en el enlace proporcionado en el correo electrónico. Comprueba que la página web en la que has entrado es una dirección segura. Para ello, ha de empezar con «https://» y un    https://www.atispain.com/ 

pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador. «Si recibes un email sospechoso, ignóralo y no respondas. Si sospechas que has sido víctima de phishing cambia tus contraseñas y ponte en contacto inmediatamente con la entidad financiera para informarles».

En la imagen siguiente, podemos observar un sitio de phishing que afecta a PayPal, el cual ha sido montado sobre otro presuntamente vulnerado, que luego fue utilizado para montar el sitio fraudulento

 

Es aconsejable ser precavido y tener en cuenta que tanto el correo como la web fraudulenta pueden ser muy complejos y sofisticados.

 

En resumen:

Los correos electrónicos fraudulentos tratan de conseguir tu información personal. Las empresas nunca te solicitarán por correo ninguna información referente a tus usuarios, claves o datos de tu tarjeta de crédito.

La urgencia de los mensajes que te amenazan con la suspensión de la cuenta si no proporcionas tus datos inmediatamente tiene que hacerte sospechar. Una empresa seria nunca usará el correo electrónico para contactar contigo por este motivo.

La solicitud de confirmación de tus datos personales por correo electrónico es otro método utilizado en el engaño. Ninguna empresa utiliza el correo electrónico para verificar tu información personal, tan solo te solicitan un link para verificar tu email.

Los errores ortográficos y otros errores en la realización del correo o la web fraudulentos indican un origen sospechoso de los mismos.

 

 

Un comentario en «¿Está tu empresa preparada para un ataque de phishing?»

Deja una respuesta

Tu dirección de correo electrónico no será publicada.