Phishing: Estafa realizada a través de Internet. Es el envío de correos electrónicos o ligas hacia sitios web falsos para engañar a los usuarios. El objetivo es capturar los datos sensibles de las víctimas, tales como contraseñas bancarias y otros datos personales. Por lo general se capta la atención de usuario mediante la ingeniería social.
El Phishing sigue funcionando. No todo el tiempo ni en todos los intentos, pero lo suficiente para seguir siendo una herramienta de ataque. Muchas veces los usuarios no toman las precauciones adecuadas o tienen desconocimiento para poder identificar una amenaza. Los emails con phishing todavía alcanzan un gran número de objetivos, como empleados o consumidores a quienes los cibercriminales inundan con diversos tipos de malware o engañan para ingresar a sitios web falsos y robar información personal.
Algunos correos con Phishing son fácilmente reconocibles por su falta de contexto, errores gramáticales o de ortografía en su redacción, y contenidos inesperados por parte del usuario. Otros parecen legítimos y algunos más son utilizados como parte de campañas más sofisticadas y a largo plazo, desarrolladas con base en el conocimiento obtenido por parte de los ciberdelincuentes. Es una realidad es que el Phishing sigue siendo un vector de ataque utiizado por los agresores.
Algunos sistemas de protección y gateways para correo electrónico pueden eliminar este tipo de mensajes antes de que lleguen al usuario, pero hay ocasiones en que tanto los negocios como los consumidores no cuentan con protección alguna, por lo que entonces, la educación y el conocimiento se convierte en la mejor defensa.
Ejemplo de email de Phishing que se hace pasar por una institución financiera mexicana con liga a un sitio comprometido al hacer clic en “Entrar”.
Vale la pena revisar la cantidad de errores ortográficos (falta de tildes) que presenta este mensaje.
Por lo mismo, investigadores de los laboratorios FortiGuard de Fortinet analizaron miles de correos con Phishing (del 1 de enero al 3 de septiembre, 2015) para conocer la tendencia de este tipo de ataques en 2015 y algunos resultados los presentamos a continuación.
Temas principales
Los temas más repetidos en la ingeniería social correspondiente a los encabezados en los correos de Phishing fueron los siguientes: Compras 41%, Dinero 25%, Documentos 14%, Otros 20% (órdenes urgentes, notificaciones, solicitudes, etc.)
Tipo de archivos adjuntos
Los archivos adjuntos con la extensión .zip alcanzaron un 63% en los correos de Phishing recibidos por los usuarios.
Los demás fueron de otro tipo, tales como aquellos con extensiones .jpg. (4%), .rar(4%), .xls (4%) doc (3%), .gif (3%), entre otros. Y al extraer los documentos de los archivos con termnación .zip s descubrió que los tipos más comunes fueron ejecutables (PE 50.87%), .doc (27.36%), .xls (3.05%), .jpg (2.87%) y .png (2.63%), entre otros.
La extensión .zip es bastante común e identificada incluso por usuarios finales poco experimentados. En este truco de la ingeniería social juega un papel importante, ya que provoca curiosidad en el usuario, quien tiene a abrirlo para ver contiene. Por ello el uso común de este tipo de archivo en los ataques vía Phishing por parte de los ciber criminales.
Algunas recomendaciones para evitar ser víctima del Phishing:
1) No esperar lo inesperado
En caso de no estar esperando algún documento importante, como un seguimiento a una compra, una transferencia bancaria, probablemente sea un correo malicioso. Hay que utilizar el sentido común.
2) Se puede ser curioso, pero de una manera apropiada
En caso de estar esperando un correo similar al recibido, pero hay duda de su legitimidad (por ejemplo, si una persona trabaja en Recursos Humanos de una empresa y recibe un CV), existen pasos adicionales:
a) Consultar a un experto. Solicitar ayuda por parte de algún administrador de TI o algún amigo experto para revisar ese correo sospechoso.
b) Hacer una búsqueda en línea. Es común encontrar reportes en línea con ejemplos de las tácticas más recientes de la ingeniería social. Simplemente habría que teclear la palabra “spam” en el buscador de Google o con el tema del correo recibido.
c) Subir el archivo a un sitio de escaneo. Aunque el usuario no cuente con un antivirus, existen algunos sitios web gratuitos que pueden escanear los archivos, ya que cuentan con los motores de antivirus más recientes, como: http://fortiguard.com/virusscanner.
3) Crear reglas en los correos electrónicos
Por ejemplo, un empleado puede programar su cliente de correo electrónico (por ejemplo, Outlook) para solo recibir en su carpeta de entrada aquellos provenientes de personas dentro de su organización, y cuando se trate de emails externos, enviarlos a un carpeta específica filtrándolos con los temas más comunes para rechazar aquellos sospechosos. Puede ser una tarea tediosa, pero vale la pena realizarlo para administrar fácilmente los correos y detectar aquellos que sean peligrosos.
Contacto de prensa:
