Phishing (II): Reconocer y evitar el phishing

Volvemos a la carga con una entrega mas sobre phishing. Espero que la entrada anterior fuera suficientemente clara, pero por si os lo perdistéis, podéis refrescarlo aquí. Por supuesto los comentarios también son bienvenidos.

En esta entrada vamos a trata sobre cómo reconocer y evitar el phishing. En realidad, todo depende en ultima instancia del sentido común, pero para los mas despistados os damos algunas recomendaciones.

¿Cómo reconozco un intento de phishing?

Vamos a dejar claro que el phishing no es ningún tipo de virus o “bicho” que ataque nuestro ordenador por lo que ningun antivirus o sistema de seguridad nos protegerá de este tipo de ataques. Los phisers se aprovechan de la ingenuidad de los usuarios y les engañan para que las propias victimas les cedan sus datos, por eso la mayor defensa es ser precavidos. Estos son algunos consejos que podemos utilizar:

1.) NUNCA, su banco le pedirá que introduzca sus datos en una web (Y menos en España que la comunicacion entre el banco y sus clientes se realiza mediante correo ordinario)

2.)En muchas ocasiones, el correo que se recibe suele estar en inglés. En España, lo lógico sería que si tu banco quiere pedirte datos sensibles te los pida en tu idioma, ¿no?

3.)Cuando uses banca on-line procura acceder a la web de tu banco sin seguir ningún tipo de enlace (y menos de un enlace en un sitio que no es de confianza). Resulta mas seguro que uno mismo escriba la dirección en la barra de direcciones.

gmail-phishing-2012

Ejemplo de phishing en gmail

4.)Fíjate en la URL de la pagina y comprueba si el protocolo que utiliza es seguro (https) o no (http). Los bancos siempre utilizan servidores seguros, así que si echas en falta la ‘s’, puedes empezar a sospechar. Sin embargo, deja que la última palabra la tenga tu intuición ya que algunos “maestros del phishing” son capaces de mostrar URL’s distintas a las verdaderas para que sus victimas vean la dirección con la que están familiarizados. Así, aunque la web falsa ste en un servidor perdido con un nombre totalmente distinto los clientes seguirán viendo, por ejemplo, un ‘tranquilizador’ https://www.bankia.es/acceso

5.) Los correos que se reciben, suelen ser impersonales al estilo “Estimado cliente, ” o “Querido usuario de X”; sin embargo lo habitual entre las empresas es que si se comunican contigo utilicen tu nombre/nick: “Sr. Fulánez”, o “Querido mAcHoMeN”.

6.)Otras comprobaciones que puede hacer es pasar el ratón por encima del enlace que se le insta a pulsar y comprobar la dirección en la parte de abajo de la ventana del navegador para saber si es de confianza, o mucho mas fiable, buscar el dibujillo de un candado cerrado (no roto) en el que si haces click podrás ver el certificado de autenticidad de la entidad que esta tras la pagina web. Si no hay candado por ninguna parte, mal asunto.

7.)Si aun después de todo esto, la pagina te parece ‘buena’, pero sigues sin fiarte, nada mejor que hacer una llamada a tu banco y comentarles la situación. Como he dicho, lo principal es el sentido común.

Evitar y Combatir el Phishing

Podemos ver la batalla contra este tipo de estafa desde distintos enfoques:

enfoque humano

Muchas empresas creen que al final si uno es mas listo que los phishers, no podrán engañarle, así dedican tiempo y dinero a entrenar a algunos de sus empleados para detectar intentos de Phishing. En USA, se llegó incluso a plantear un experimento en el que a varios cientos de cadetes militares se les “echaba el anzuelo” del correo electrónico como medio de phishing, y cerca del 80% cayeron en la trampa.

enfoque técnico

phishingPese a que no podemos combatir este tipo de estafa con antivirus o similares, por su propia naturaleza basada en la ingeniería social, cada vez aparecen mas soluciones software que nos pueden ayudar a evitarlo  La mas sencilla es la típica pregunta secreta, que debe responder el usuario con algo que sólo él sepa. Últimamente  algunas webs han evolucionado un poco mas este mecanismo y en lugar de hacerte una pregunta les muestran imágenes secretas elegidas por los usuarios, por lo que si al acceder al sitio no visualizas esas imágenes es que la página no es la que crees que es. Otras soluciones de este tipo son algunos plugins que se incorporan a los propios navegadores, que te muestran la autentica dirección del sitio al que estas accediendo; los imprescindibles filtros antiSpam, que criban los correos de origen sospechoso; y ya para los más drásticos hay empresas que ofrecen sus servicios para realizar una monitorizacion continua con el fin de encontrar y cerrar paginas dedicadas al phishing. Con esta intención, se creo en EEUU una asociación de industrias llamada “Antiphishing Working Group”.

enfoque legal

La justicia también utiliza sus medios para que los estafadores no se salgan con la suya. Son muchos los casos de phishers que se han hecho con auténticas fortunas con esta fraudulenta práctica, y por eso se ha visto la necesidad de crear leyes al respecto. La ley federal anti-phishing de los Estados Unidos establece multas de hasta 250.000$ y penas de cárcel de hasta 5 años.

Espero que con esta entrada tengáis mucho más claro cómo identificar un intento de phishing. Para que os examinéis a vosotros mismos, os dejo el enlace a un test sobre phishing en el que debéis decir si una captura de ejemplo que os ponen es phishing o no. El link es este: http://www.sonicwall.com/furl/phishing/

Y eso es todo, nos leemos en la próxima entrada de phishing con jugosas cifras, números y estadísticas.

Hasta la próxima!

Entradas Relacionadas:

Phishing (I): Definición y ejemplos

Phishing (III): cifras y más

Fuentes:

http://es.wikipedia.org/wiki/Phishing

http://www.recoverylabs.com/informes/Recovery_Labs_phishing.pdf

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s