¿Cómo protegernos del robo de contraseñas Phishing?
El Phishing es una estafa que cada día está más presente en nuestro día a día con correos electrónicos sospechosos, SMS de bancos que no tenemos, llamadas telefónicas que no entendemos bien... etc. En cualquier momento podemos caer, un click donde no debemos, una descarga inapropiada... ¿Crees que nunca caerás en este engaño?
En esta entrada vamos a intentar ayudar a la gente a entender mejor el Phishing y cómo podemos evitar que nos quiten las contraseñas de nuestros iPhone iOS o desde terminales móviles Android.
Quiero aclarar que no nos hacemos responsables de un mal uso de estas técnicas.
¿Qué es el Phishing?
Según el INCIBE instituto de ciberseguridad de España, el phishing consiste en el envío de un correo electrónico a un usuario simulando ser quien no es en realidad. Existen diferentes vertientes como a trabes de SMS, chat, redes sociales, whatsapp, icloud...
Dentro del phishing tradicional existe otra vertiente como es el Spear Phishing. La diferencia fundamental es el objetivo. El phishing no tiene un objetivo concreto por lo que se lanza un ataque genérico y se obtienen resultados de diferentes usuarios. Con el Spear Phishing ya se busca algo más en concreto, el objetivo está claro, puede ser una empresa, una persona, un usuario.. este método va más dirigido.
Tipos de Phishing:
- Smishing: Muy usual y muy peligroso. Este es enviar mensajes SMS al teléfono móvil Android/iPhone. El más usual es un supuesto banco que nos informa que nuestra cuenta está bloqueada y nos da un enlace acortado. El problema de los enlaces acortados es que no se ve la dirección y no sabemos hacia donde nos lleva.
- Vishing: Se trata de engaños a trabes de llamadas de teléfono o voz sobre IP. Suelen ser personas haciéndose pasar por una gran empresa para que le proporcionemos una serie de datos o incluso haciendo que nos instalemos una aplicación para ayudarnos a corregir el supuesto fallo que tenemos.
- Spimming: Este método se realiza a través de mensajería instantánea como puede ser el Whatsapp, Telegram, Ving o cualquier red social que tenga aplicación de mensajería instantánea como Facebook, Twitter...
Estas técnicas de Phishing se suelen combinar con otras técnicas como el Spoofing para ser más eficaces.
¿Qué es el Spoofing?
El Spoofing es una técnica que se suele ir acompañada del Phishing para implementar el engaño al usuario. Esta técnica consiste en camuflar una web para que parezca que es la web original de por ejemplo un banco, una tienda como Apple, Amazon.. En esta web nos informa que tenemos un problema en nuestra cuenta por ejemplo en Apple sería la cuenta de usuario iCloud y necesitamos la contraseña para activar nuestra cuenta del iPhone Bloqueado. Esta técnica también se llama la suplantación de identidad.
Tipos y técnicas:
- Uso de subdominios: Es cuando nos envían una url con el dominio autentico separado por un / y un subdominio.
- Uso de Acortadores: Existen aplicaciones y herramientas que nos acortan las url largas y eso nos camufla la dirección con lo que no sabremos donde nos lleva.
- Typosquatting: Son pequeñas modificaciones en el dominio para hacer ver lo que no es en realidad. Un ejemplo es en vez de Apple con dos p poner en la url Aple con una sola p.
- El uso del Código QR: En un código QR no podemos ver si escaneamos el código hacia donde nos va a redirigir. Por tanto son muy peligrosos.
- Ataque Homográfico: Consiste en sustituir ciertos caracteres de nuestra escritura normal por otros de otro tipo de escritura. Tipo unicodo o policode. Visualmente parecen los mismos pero en realidad son diferentes.
Algunos consejos de Seguridad.
Jamás introduzcáis cualquier tipo de información en una web que habéis abierto a trabes de un enlace que os han enviado o que habéis encontrado por internet. Lo mejor es cerrar la página web y entrar directamente desde la web o aplicación oficial.
Existen herramientas que al contrario de los acortadores, te muestran la dirección url original para que veas a donde te va a llevar o si es https o si es una web oficial.
Tenemos también antivirus que detectan algún tipo de intento de phishing y lo bloquean, ya sea en la bandeja de correo no deseado spam o en mensajes peligrosos.
Los navegadores web también disponen de plugin o extensiones que nos va a ayudar a hacer comprobaciones periódicas para detectar si somos o hemos sido susceptibles de un atake de robo fraudulento o si hemos entrado en alguna url peligrosa.
¿Qué es el Phishing iCloud y cómo protegernos? Evita que te roben el nombre de usuario y contraseña de tu perfil.
Deja una respuesta
Aquí tienes un listado de entradas que te pueden interesar.