Qué es el Phishing y cómo evitarlo?

El phishing:

Es una práctica delictiva que utiliza distintas técnicas de Ingeniería Social con el fin de engañar personas para obtener información confidencial importante para la seguridad de una persona, sistema u organización.

crazy_hacker

¿De dónde viene el nombre Phishing?

¿Acaso significa "Pescar"? enter image description here Phishing, es la combinación de dos cosas: Por un lado, la palabra ‘Fishing’, que, en inglés, significa literalmente “PESCAR”. Y el término 'Phreaking' (Phone Breaking), acuñado a mediados del siglo XX, que refiere al ‘hackeo’ y la investigación del funcionamiento de los teléfonos y las redes telefónicas.

¿En qué consiste?

La manera más habitual es que las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita (o “suplanta la identidad”) a una persona u organización de confianza, un compañero de trabajo, un banco o una entidad gubernamental, como por ejemplo, ANSES.

Cuando la víctima abre el correo electrónico o el mensaje de texto, encuentra un mensaje pensado para asustarle, con la intención de que actúe rápidamente.

El mensaje generalmente exhorta a la víctima a ir a un sitio web y actúe de determinada manera, o tendrá que afrontar alguna consecuencia como el cierre de su cuenta, el abono de algún cargo, etc.

Si un usuario confía y clickea el link, se le envía a una página que imita a la perfección el sitio real.

A partir de aquí, se le pide que ingrese con sus credenciales y contraseña.

Si el usuario lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias, vender información u otros fines.

crazy_hacker_2

Principales medios de propagación

¿A través de que métodos, un atacante puede tener acceso a mi información?

propagation

El phishing cuenta con múltiples medios para ser llevado a cabo, pueden atacarte con mensajes en Redes Sociales, SMS, o vía Mail, hasta llamados telefónicos e incluso mediante la instalación de malware.

Pero... ¿Qué tipo de información buscan?

La mayoría de nosotros, alguna vez ha caído en el error de pensar "Yo no soy nadie importante, no me van a hackear" pero lamentablemente no es así. Todos podemos ser víctimas de phishing y otros ataques. La información, por más que sea en ínfimas cantidades, es utilizada para crear un perfil de la victima, y personalizar los métodos para llegar a vos.

Qué tipo de información puede ser vulnerada?

Datos personales:
- Direcciones de Correo Electrónico.
- Números de DNI u otras identificaciones.
- Datos de Localización y Contacto.
- Datos biométricos.
Información Financiera:
- Números de Tarjetas de Crédito
- Información de Cuentas Bancarias
- Registros de Compra y Venta
Credenciales de Acceso y otros.
- Redes Sociales
- Correos Electrónicos
- Tokens
- Contraseñas
- Acceso a tu SIM
- Cookies

¿Entonces, cómo lo detecto a tiempo?

pro_hacker_lvl_80

Sin duda, lo más importante a la hora de detectar un posible intento de phishing, es prestar atención a los detalles .

Como dijimos anteriormente, el phishing generalmente nos llega en forma de correo electrónico, entre otros medios. Por eso es importante tener en cuenta lo siguiente:

1- ¿Quién es el remitente?

El primer paso, siempre debe ser asegurarme de que la persona o empresa que intenta comunicarse conmigo sea, efectivamente quien dice ser.

Por ejemplo:

Este correo es un intento de phishing detectado y publicado en el año 2019 por el Banco Central de la República Argentina, donde el atacante intenta obtener credenciales fiscales de la víctima, haciéndole creer que tiene una deuda y que deberá saldarla cuanto antes para no afectar su historial crediticio.

Fake_Mail_Example

El remitente del mail es ‘sistemadeudas@bcarg.com‘ Si lo analizamos, el remitente dice provenir del dominio “bcarg.com”, pero… ¿Es este realmente el dominio del Banco Central de la República Argentina? Pues, una rápida búsqueda en Google, nos arroja que NO. El dominio real, publicado por la propia página del BCRA, es “bcra.gob.ar”.

enter image description here

Entonces, ya entendí que es un mail falso, ¿ahora que hago?

Si detectaste a tiempo que el correo que recibiste era un intento de phishing, entonces simplemente deberías desestimar el mensaje y bloquear al remitente.

¿Qué pasa si no me di cuenta y ya puse mis datos?

callcenter_gif

Si detectaste tarde que te estabas comiendo un phishing de la gran phlauta, lo primordial es cambiar la contraseña de todas las cuentas donde la estés utilizando.

Activar, en lo posible, un segundo factor de autenticación para ingresar.

(Una buena práctica es utilizar una password diferente para cada servicio, mediante un gestor.)

2- Faltas de Ortografía, errores gramaticales y caracteres raros.

is_this_a_scam_gif

Muchas veces, los atacantes son personas que no hablan tu mismo idioma, o almenos no lo hacen de forma nativa.

De buenas a primeras, al ver algo mal escrito en la redacción del mail, o en el front-end de la página que pide tus datos, es mucho muy importante DUDAR. (por no decir rajá de ahí)

Caracteres Raros:

En ocasiones, vas a encontrar caracteres del alfabeto Árabe o Cirílico, que el traductor de Google no adapta correctamente al idioma objetivo y quedan “en el aire”.

Alfabeto Cirílico Cirilic_Alphabet

Alfabeto Árabe Arabic_Alphabet

A veces vas a ver mensajes mal escritos como estos.

Vía chat: Fake_Message_1 Vía Mail: Fake_Message_2 Definitivamente SCAM. Pepe_The_Frog

3- Las entidades con las que te relacionas, YA TIENEN TUS DATOS.

Algo que parece obvio, pero que muchas veces no advertimos, es que las empresas y entidades gubernamentales en las que estas registrado, ya te conocen y ya tienen tus datos.

Esto quiere decir que, cuando una empresa seria tenga algún asunto con vos y necesite comunicarse con vos, no van a pedirte datos sensibles ni ninguna credencial para “comprobar tu identidad”, simplemente porque YA LA TIENEN.

En otras palabras, el banco no te va a llamar para intentar obtener tu número de tarjeta y el código de seguridad de la misma.

4- ¡¡El candadito VERDE!! y los certificados de seguridad.

candadito_verde El famoso candadito verde, ¿Qué es?

El candado verde quiere decir que la página opera bajo el protocolo HTTPS y que tiene al día sus certificados de seguridad.

Si bien es importante que los datos viajen de forma segura a través de la red, NO TIENE IMPORTANCIA SI LOS DATOS SE LOS ESTAS ENVIANDO DIRECTAMENTE AL ATACANTE.

certifiqueishon

Teniendo en cuenta que cualquiera con conocimiento en desarrollo web puede configurar un servidor HTTPS y adjuntarle un certificado , NO es correcto decir que si una página “tiene el candadito”, es segura o no es scam.

5- La URL. (Si, posta, la URL)

Verificar la URL de la página que te presenta el formulario para ingresar tus datos es muy importante.

mucho_muy_importante

¿A qué me refiero?

La siguiente captura de pantalla es del inicio de sesión de Instagram. Técnicamente está todo bien, verdad? ... verdad!?

Instagrame_Fake_Login

¡NO!

ron_damon

Mirá bien la URL: fake_url

"Instragram", definitivamente NO es el dominio oficial de Instagram.

No tenemos idea de a quién le estamos enviando nuestra información de inicio de sesión.

Probablemente al clickear el botón "Entrar" (submit del formulario), se nos redireccionará a la we oficial, para que "no sospechemos" nada, pero en este punto, la página oficial nos pedirá iniciar sesión, o entrará directamente si la sesión ya estaba iniciada previamente, por lo que es algo que se debe tomar en cuenta.

La mejor forma de evitar esto es siempre preguntarse; Si yo ya tengo la sesión de Instagram iniciada en mi navegador ¿por qué me pide mis datos de nuevo?

Si tenés la certeza de que tu sesión está iniciada y que no borraste cookies ni caché, entonces verificá todos los datos de la página antes de meter tu información.

6- No confiar en NADA.

warning_xd

Es normal encontrarse con ofertas demasiado buenas para ser verdad, cuando uno esta scrolleando por las redes.

Y… ¿saben qué? Si algo parece demasiado bueno para ser verdad, es porque precisamente es demasiado bueno para ser verdad.

Confía siempre en tu intuición, si algo huele mal o parece raro, sacá la mano de ahi carajo!!

THE_COMMANDER

En resumen:

Si alguien te ofrece regalarte un juego, a cambio de que inicies sesión en su página con tus credenciales de STEAM.

Si alguien te quiere enviar una giftcard de Mercado Libre, Amazon, Steam, etc. y a cambio tenés que dar tu mail o número de teléfono u otra información personal.

Si te ofrecen una transferencia de dinero a cambio de tu número de documento y/o CUIL/CUIT.

O si alguien te ofrece descuentos irracionales en una web-store de dudosa procedencia, acordate… enter image description here