SITIOS WEB – Seguridad en Internet: Phishing

Websites-Phishing-PocoDesejos

Siguiendo con el artículo anterior, vamos a ver la amenazas más comunes, con algunos detalles técnicos, ejemplos, consejos para evitar y qué hacer después de ser víctima de cada uno de ellos.

Esta semana nos centramos en el Phishing, una técnica cuyo nombre proviene de un pequeño juego de palabras, con la palabra “fishing”, que significa “pescando”, y que, prácticamente, parece una “pesca” de datos, o víctimas en una variedad de maneras.

Phishing:

El término phishing, como se mencionó, proviene de las palabras “fishing”, o pesca, a las que se sustituyó la letra “f” por las letras “ph”, en alusión a una técnica surgida a principios del siglo XX, a la que se denominó “phone phreaking”, una práctica sin traducción directa, pero que se reduce a un grupo de personas (aka phreaks), que realizaban pruebas y experimentos en las redes de telecomunicaciones, con el fin de saber cómo funcionaban y cuáles eran los límites de funcionamiento. (que a menudo condujo a la interrupción de las comunicaciones).

Esta técnica nació a mediados de 1996-1997, con sucesivos robos de cuentas de AOL (America Online), un portal de telecomunicaciones estadounidense, donde piratas robaban las contraseñas de los usuarios para poder acceder a las cuentas de otra persona, por diferentes propósitos

Hoy en día, el phishing es una de las mayores amenazas para los usuarios de Internet y las empresas, ya que ya no está asociado solo a una entidad específica, sino una práctica global que afecta a miles de servicios y millones de usuarios.

Tipos de phishing:

El phishing difiere de la forma en que funciona, según el tipo de ataque. Cada tipo tendrá además un alcance y urgencia diferente:

  • Email phishing: el método más común de todos. Por regla general, el usuario recibe un correo electrónico de una entidad oficial, conocida o incluso de un amigo o colaborador, con un enlace que conduce a #sitios web maliciosos, falsos, donde se le solicitarán datos personales y/o bancarios. Posteriormente, se podrá prohibir al usuario el acceso a cuentas de correo electrónico, servicios de homebanking (acceso al banco, etc.). Más adelante, hablaremos de algunos tipos de correos electrónicos, en los ejemplos que tenemos para presentar;
  • Sitio de phishing: aquí, los piratas utilizan sitios falsificados, que llevan a los usuarios a ingresar datos personales o bancarios, para poder utilizar cuentas reales o clonar tarjetas de crédito;
  • Vishing: últimamente estamos asistiendo, en territorio nacional, a un aumento exacerbado de este tipo de ataques. Esto es phishing de voz, es decir, por teléfono. El pirata se hace pasar por un técnico de una empresa oficial, ya sea bancaria o tecnológica, y tiene que convencer a la víctima para que ceda sus datos personales, bancarios o el acceso a su ordenador o teléfono, no solo con el objetivo de robar credenciales, sino a menudo crear la idea de que nuestro equipo está comprometido y que tenemos que pagar una cantidad (grande) para resolver el problema;
  • Smishing: aquel mensaje de CTT o servicios de transporte, o aviso de falta de pago de un proveedor de servicios eléctricos, bancarios o tecnológicos, esto es smishing, es decir, phishing por SMS, ataque que sigue la misma línea que los anteriores. , es decir, garantizar el acceso a los equipos, o el pago de algún monto, asociado a una multa falsa o pago atrasado;
  • Social Phishing: este tipo de ataque está relacionado con ataques a través de redes sociales, principalmente servicios de mensajería como Messenger o WhatsApp. Se trata de enviar mensajes a los usuarios de los más diversos tipos, desde productos extremadamente baratos, hasta mensajes de carácter sexual, y cuando el usuario accede, sin darse cuenta, está entrando en #sitios web maliciosos, o permitiendo la instalación, oculta, por supuesto, de aplicaciones maliciosas, que intentarán aprovechar posibles fallos de su equipo.

Dentro de estos ataques, también podemos subdividir, de forma más detallada, cada uno de ellos (como el spear phishing – consiste en ataques directos a objetivos específicos, es decir, estudiantes o miembros de una determinada empresa, facultad, etc., clon phishing – falsificación de #sitios web y correos oficiales, cuya dirección de envío es extraña, whaling – orientado a directivos de medianas/grandes empresas, etc.), sin embargo, el funcionamiento es, en general, muy similar entre ellos.

En general, el phishing siempre necesita autorización o validación del usuario. Ya sea a través de correo electrónico, mensaje, llamada telefónica o acceso e ingreso de datos personales y privados en #sitios web falsos, el usuario SIEMPRE es el mayor obstáculo para los piratas.

Ejemplos de ataques, en primera persona:

Llevo trabajando con computadoras desde que era un niño y nunca tuve ningún problema, hasta 2017. Recibí un correo electrónico de mi banco -o eso creía- en el que me decían que había una actualización en los estándares de seguridad. , y tendría que seguir un enlace para iniciar sesión y volver a crear mis credenciales de inicio de sesión. Cuando entré allí, me topé con una página, en todos los sentidos, idéntica a la oficial del banco, y seguí los pasos que me indicaron. Además de mis códigos personales, me pidieron una fotocopia de mi tarjeta de coordenadas, la cual entregué sin ninguna sospecha.

A media tarde de ese mismo dia, recibo una llamada de mi gestor de cuenta, sobre retiradas y pagos consecutivos de mi cuenta, por un importe total que ya supera los 12 mil euros.

Todas mis credenciales de acceso fueron eliminadas y recreadas, y las autoridades fueron debidamente informadas. Posteriormente, el banco me reembolsó las cantidades gastadas, a excepción de algunas cantidades menores, que no estaban cubiertas por el seguro bancario. Aprendí bien mi lección” – D. R. P. empresa unipersonal, víctima de phishing por correo electrónico

En un momento de desesperación monetaria, recibí un mensaje de alguien que se hacía pasar por mi familiar, con una propuesta que me parecía atractiva. Había una cantidad, de otro familiar, en un banco en el exterior, para ser entregada a los familiares. Ese familiar que me contactó me dijo que él se encargaría de todo, yo solo tendría que dar la “cara” y algunos datos, y con eso juntaría el dinero, siendo lo mismo repartido 45-55%.

Embrutecido, y desesperado, accedí allí. A mitad de processo, descubrí que se trataba de un fraude, en el que mis datos serían utilizados para un pago, vía WESTERN UNION, a un apartado de correos determinado, en un país del tercer mundo, y con mis datos, el mismo pago sería mío. responsabilidad: es decir, la otra parte recibiría su parte, mientras que yo no solo no recibiría nada, sino que también sería responsable de reembolsar el importe total a WESTERN UNION. Por cierto, tuve suerte, pero aun así me vi obligado a hacer declaraciones telefónicas a la policía del país en cuestión. Nunca más” – Operador de C.M. C.N.C., víctima de 419 Scam, una forma de phishing creada por estudiantes nigerianos durante la crisis del petróleo en la década de 1980, que tenía como objetivo obtener fondos para operaciones ilegales. Este tipo de actividad es realizada actualmente por auténticos grupos criminales, normalmente asociados a la delincuencia violenta.

Estos dos ejemplos son algunos de los más comunes, sin embargo, en territorio europeo nos hemos visto afectados por una enorme ola de vishing, es decir, phishing por teléfono.

A continuación se muestra un ejemplo en primera persona de un ataque reciente a un jubilado portugués con pocos conocimientos informáticos.

Recibí una llamada de una persona que comenzó preguntándome si hablaba inglés, y que se presentó como soporte técnico de Microsoft, y que se detectaron varias señales de actividad ilegal desde mi computadora y mi teléfono.

Me pidió que instalara una aplicación, para que no solo pudiera mostrar los errores en cuestión, sino también acceder a mi computadora para resolver la situación. Lo hice y seguí las instrucciones que me dieron. Tan pronto como compartí la clave de acceso y el operador accedió a mi computadora, inmediatamente me quedé sin imagen. El operador dijo que era una señal obvia de piratería informática, pero que se resolvería rápidamente.

La imagen volvió unos minutos después y el operador me pidió que abriera el programa que quisiera. Así lo hice, y no pude entrar en ninguno, siempre con el aviso de que no lo habían encontrado… Entonces el operador me presentó una solución: pagué 1500 euros, y resolvió la situación en unos minutos. Acepté, realicé el pago, con tarjeta bancaria, y en unos minutos, todo estaba solucionado, o al menos normal.

Unos días después, tengo problemas con la computadora que vuelve a funcionar y un nuevo operador me contacta. Mi nieto, que estaba cerca, me dijo que colgara porque era un fraude. Por lo que me dijo, llamaron a un número aleatorio, y tan pronto como respondimos, trataron de convencernos de que le demos acceso a nuestra computadora. Luego, apagaron nuestro monitor y cambiaron algunas carpetas o archivos en la ubicación, para que nuestros programas no funcionaran. Luego, encendieron nuestro monitor nuevamente y nos pidieron que ingresemos un programa, lo que daría un error. Cuando realizábamos el pago de la cantidad en cuestión, apagaban el monitor, volvían a poner los archivos en su lugar, y así ganaban grandes cantidades, con una estafa.

Como se había bloqueado una vez, mi nieto decidió formatear mi computadora y nunca más tuve problemas. Cuando sucede algo extraño, le pido a mi nieto oa alguien más que me ayude. Me quedé sin 1500 euros, pero con una buena lección”. – R. M L, jubilado, víctima de vishing.

Este último caso se ha vuelto bastante común, al menos en suelo europeo, porque con la pandemia, el número de ataques vía telefónica, ha ido en aumento, principalmente por el teletrabajo y el temor de los usuarios, principalmente profesionales, pelas amenazas de la web.

¿Qué hacer si usted es víctima de este tipo de delito?

Lo primero que se debe hacer, cuando existe la sospecha de si ha habido o no algún descuido, es alertar a las autoridades y entidades involucradas. En el caso de un operador de servicio associado, como telecomunicaciones , se llevará a cabo un conjunto de auditorías internas, y sé recrear el perfil de usuario, con una “hoja en blanco”, para que no se apliquen cargos extra por servicios, recreando todos los accesos.

En el caso de los datos bancarios, al alertar a su banco, éste cancelará todo acceso a su cuenta, así como las tarjetas que se hayan facilitado mientras tanto. Se recrearán nuevos datos de acceso y nuevas tarjetas, y se realizará un análisis de la situación, de cara a encontrar una solución que permita devolver, si no la totalidad, al menos una gran parte del importe que se haya podido sido desviado.

El usuario también debe cambiar todas las palabras clave de sus servicios y sitios, y optar por claves grandes, con números, letras mayúsculas, minúsculas y símbolos en la mezcla. Puede y debe guardarlos, preferiblemente en un lugar fuera de su computadora, en un bloque similar, y no debe guardarlos en su navegador, para evitar posibles riesgos de seguridad.

Una herramienta que puede ser útil para comprobar si hay filtraciones es el sitio web Have I Been Pwned, un proyecto creado por Troy Hunt, un experto en seguridad en línea, que analiza sus contraseñas clave y sus correos electrónicos. , comparándolos con una base de datos de información extraída de ataques, buscando posibles riesgos de seguridad. En caso de que su correo electrónico o su contraseña se vean afectados, lo que tendrá que hacer es cambiarla por una palabra clave más resistente. Debe evitar repetir palabras clave.

¿Cómo evitar caer en este tipo de ataques?

La mayoría de los ataques de phishing son fáciles de evitar. Por lo tanto, el usuario debe:

  • Evite los correos electrónicos que comienzan con: «Urgente», «Trato ventajoso», «Alerta», «Evitar multa», «Procedimiento abierto en (su nombre aquí)», «Reclame su recompensa», «Ganó un premio». Por lo general, este tipo de correos electrónicos sirven para despertar el interés y la curiosidad. Aunque abrirlo no les perjudique, no debe, de ninguna manera, enviar datos, abrir archivos adjuntos o seguir los enlaces que vienen en este correo electrónico;
  • Analizar el texto del correo electrónico. Por lo general, los correos electrónicos de phishing están mal redactados, con errores gramaticales o de sintaxis. Esta es una de las primeras señales de advertencia;
  • Dirección de remitente extraña, con errores o, en el caso de una entidad oficial, con un servidor de correo público, como Gmail o Hotmail. Normalmente, este tipo de correos electrónicos, cuando provienen de entidades oficiales, utilizan servidores de correo electrónico a nombre propio, o servidores privados, y no públicos;
  • Estos correos electrónicos exigen una acción inmediata, un sentido de urgencia. Esto también es una señal de advertencia;
  • En caso de duda, siempre puede ponerse en contacto con el remitente, a través de los canales oficiales o algún medio alternativo, para asegurarse de que se trata de un correo electrónico válido.

En términos comerciales, este tipo de ataques también hacen daño. Incluso existe un ataque con el objetivo de afectar a miembros de empresas o grupos económicos, denominado whaling (juego de palabras con ballena, cuya palabra es “whale”), que funciona de la misma forma que los demás, pero dirigido a empresarios o directores generales de empresas. Estos ataques pueden provocar, por ejemplo, la interrupción de las comunicaciones entre las distintas sucursales de la empresa, debido a que uno de los elementos de administración no puede acceder a sus cuentas internas.

Algunos números para mantener:

Según la empresa de seguridad estadounidense SANS, el 95 % de los ataques a empresas son el resultado de un spear-phishing exitoso.

Según datos de 2018 de la empresa Verizon, el 30% de los correos electrónicos de phishing son abiertos por el público objetivo y el 12% de ese público hace clic en los enlaces asociados.

De 2017 a 2022 hubo un aumento del 14 % en los ataques de phishing (del 72 al 86 %) solo para los mercados ingleses, y en el resto del mundo, las cifras siguen este crecimiento.

Solo en 2019, en Estados Unidos, empresas y particulares afectados por este tipo de ataques, se encontraron con una pérdida total de alrededor de 3.500 millones de dólares, y, además de los correos electrónicos, las redes sociales también comenzaron a tener una carga añadida por esto. tipo de situación (176% más solo en FaceBook).

En general, el 83 % de todos los ataques comerciales en todo el mundo comenzaron con un pequeño ataque de phishing, generalmente a través de una campaña de correo electrónico con enlaces maliciosos.

Alrededor del 32 al 47% de las empresas del mundo han sido objeto de ataques de phishing generalizados (esto es en un escenario previo a la pandemia).

En el último año, alrededor del 69 % de las empresas fueron objeto de ataques de phishing, y alrededor del 12 al 15 % tuvieron éxito.

Estos valores son un poco generales, y tienen algunas limitaciones, sin embargo, en sentido figurado, muestran lo peligroso que es, no tomar las precauciones necesarias, en una situación como esta.

¿Cómo proteger su negocio y los internautas que lo visitan?

En UNNE Design, nos enorgullecemos de nuestra atención a la seguridad de nuestros clientes. Nuestros sitios cuentan con herramientas de vigilancia activa, configuradas, en caso de scripts maliciosos (fragmentos de código), y, en caso de registro de datos personales, todos nuestros sitios tienen la capacidad de doble verificación de seguridad, o autenticación de dos factores, que permite al usuario tener dos medios para autenticar los datos, lo que imposibilita las entradas forzadas en su cuenta.

Asimismo, toda comunicación entre el cliente y nuestra empresa se realiza a través de canales oficiales, sin cambios y debidamente identificados, y toda correspondencia es previamente analizada ante la posible posibilidad de brecha de seguridad.

Hable con nosotros. En #UNNE Design nos preocupamos por si y su negocio.

UNNE Design | Create Curiosity

#sitioswebconcalidad solo en #UNNEdesign

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Necesita estar de acuerdo con los términos para continuar

cuatro × 3 =

Menú