Durante 2013 se produjeron 450.000 ataques de phishing en todo el mundo que, en su conjunto, supusieron unas pérdidas de 5.900 millones de dólares, según informe de RSA.
Otro estudio de Kaspersky, asegura que el año pasado 39,6 millones de usuarios se vieron afectados por este tipo de ataques, con el phishing bancario como la técnica favorita de los cibercriminales y ya supone el 31,45 por ciento del total.
Datos preocupantes de una amenaza cada vez más sofisticada que no
para de crecer y es cada vez más sofisticada, como vimos la semana
pasada con motivo de la Copa del Mundo de Fútbol 2014. Como todos los ataques de phishing, los
sitios falsos destinados a estafar a los internautas imitan dominios
auténticos del evento, incluyendo a sus patrocinadores y socios -marcas
conocidas – para tratar de atraer a los usuarios y que estos compartan
sus datos privados como nombres de usuario, contraseñas y números de tarjetas de crédito.
Incluso comienzan con “https”, donde la “s” significa “seguro”, ya que los ciberdelincuentes consiguen adquirir certificados SSL válidos de
las autoridades de certificación. Una grave amenaza que podemos
contrarrestar siguiendo unas normas básicas como las que nos proponen
la startup especializada en email marketing Mailify y que son básicamente las que te hemos indicado por aquí en varias ocasiones.
10 pistas que permiten detectar un phishing
1. Dirección del remitente: Si la dirección de
email no contiene el nombre de la empresa, es un correo electrónico no
fiable. Por ejemplo, una dirección real de iTunes es: do_not_reply@itunes.com. Por tanto, aunque el nombre del remitente sea iTunes, si el email es info@informatica.es, se trata de un caso de phishing.
2. Saludo genérico: Los emailings profesionales
suelen estar personalizados con el nombre del destinatario. Hay que
sospechar de emails que empiecen por ‘Estimado cliente’ o ‘Estimado
usuario’.
3. Información personal: El objetivo del phishing
es conseguir los datos personales y contraseñas de los receptores. Una
empresa no pedirá información de este tipo vía email.
4. Carácter urgente: Las empresas suelen
solicitar por teléfono los datos personales o de carácter urgente. Si un
cliente recibe un email en el que se especifica un plazo determinado
para realizar una acción que no estaba prevista, probablemente será un
caso de phishing.
5. Amenazas encubiertas: Las marcas hacen todo lo
posible para fidelizar a sus clientes. Por ello, no pensarán en borrar o
desactivar la cuenta de uno de sus clientes de buenas a primeras. Si un
usuario recibe un email que contiene amenazas de este tipo, es
mejor eliminarlo.
6. Enlaces incoherentes: Un phishing contiene generalmente un enlace en el que el nombre de la empresa no concuerda con el de la URL. Además, el ‘https://’ suele convertirse en ‘http://’, (‘s’
de seguro). Si el correo no tiene enlaces resulta sospechoso. Por otra
parte, un enlace visible puede llevar a otra URL que no tenga nada que
ver, ya que se puede poner un link en cualquier texto (por ejemplo,
así: http://www.lacaixa.es).
7. Errores gramaticales o de ortografía: Los phishing suelen contener múltiples faltas, mayúsculas y signos de puntuación en exceso.
8. Archivos adjuntos: Se ha de tener cuidado a la
hora de abrir archivos adjuntos, aunque aparezcan como ‘formularios de
verificación’. Una empresa grande no gestionará miles de formularios en
formato Word cuando resulta más sencillo hacerlo desde un formulario
online.
9. Firma: Un email de empresa sin información
complementaria del remitente o firmado por un simple ‘atención al
cliente’, no es un email corporativo.
10. Sin consentimiento: Según la Ley, los usuarios
han de dar su consentimiento previo a una empresa a través del opt-in
para empezar a recibir sus comunicaciones. Si se recibe un email de una
marca a la que no se está suscrito, es mejor eliminarlo.
¿Qué hacer ante un ataque de phishing?
Un emailing real debe contar con el consentimiento explícito del destinatario e incluir un enlace de baja. “Si
un usuario recibe un mail sospechoso, lo mejor es no clicar ningún
enlace, no abrir ningún archivo adjunto y, sobre todo, no dar
información personal”, explica Paul de Fombelle, director general de Mailify. “Marcar
el email como ‘correo no deseado’ y eliminarlo es la forma más eficaz
de evitar un posible de ataque de phishing. Si se cae en la trampa, la
mejor solución es cambiar las contraseñas, consultar la cuenta bancaria y
alertar a la compañía a la que han imitado”, añade.
Fuente http://muyseguridad.net/2014/06/06/ataque-de-phishing
