¿Alguna vez te has parado a pensar lo que puede provocar un ciberataque? Los delincuentes cibernéticos tratan de aprovechar toda oportunidad para estafar y recabar información de forma engañosa a través de internet. Es entonces, cuando aparece el Phishing, un método muy usado por los ciberdelincuentes.

Te contamos qué es el Phishing y cómo puedes evitarlo.

Índice de contenidos: 

  1. Qué es el Phishing
  2. Cómo obtienen los datos para realizar un Phishing
  3. Maneras de detectar un Phishing:
    • Remitente
    • Destinatario
    • Redacción
    • Adjuntos
    • Enlaces
    • Solicitudes extrañas
    • Asunto
    • Web a la que redireccionan los enlaces
  4. Consejos para evitar caer en un Phishing

Qué es el Phishing

El Phishing es un tipo de fraude que utilizan los ciberdelicuentes para intentar engañar a los usuarios y conseguir información personal como, por ejemplo, contraseñas o datos de tarjetas de crédito. Normalmente, utilizan el envío de correos electrónicos dirigiendo a los usuarios a un sitio web falso haciéndoles creer que están en un sitio seguro. Es cierto, que el uso masivo de dispositivos con conexión a internet, ha hecho que estos ataques se están multiplicando por otras vías. 

Una vez el usuario recibe el correo electrónico, en él se les solicita que actualicen o que confirmen los datos de una cuenta debido a que existe un problema y, por lo tanto, es necesario revisar la información. 

Y, es que, aunque el Phishing no se pueda eliminar ni prevenir, si hay maneras de poder detectarlo y, por lo tanto, evitar que nos engañen

¿Cómo obtienen los datos para realizar un Phishing?

Normalmente los ciberdelicuentes no tienen nuestros datos, simplemente lo que hacen es enviar correos a miles de destinatarios, sin saber realmente si existen o no esas direcciones de email.

En casos más avanzados, por ejemplo, en los ataques de Phishing hacia agentes registradores de dominios, como DonDominio, los ciberdelicuentes cuentan con una fuente de información que les puede ayudar a realizar los ataques, los datos del Whois de los dominios.

Es cierto que actualmente no muestran datos personales de los titulares de los dominios, pero si que siguen mostrando los datos del registrador en el que está gestionado el dominio, con esa información ya tienen suficiente para realizar ataques muy sofisticados.

El modo de proceder que tienen es:

  1. Elegir un registrador
  2. Copiar la parte de la web de la pasarela de pago o login
  3. Hacer búsquedas Whois de los dominios que están gestionados desde esa empresa.
  4. Crear emails con asuntos como » Tu dominio ha sido suspendido, renuévalo ahora», «Cuota superada, accede para desbloquearla»…
  5. Enviar esos emails a cuentas de correo genéricas, al tener el dominio, simplemente envían los emails a cuentas como info@, contacto@ aunque no sepan si realmente están creadas.

8 maneras de detectar un Phishing vía correo

A continuación, nombraremos algunas prácticas que es recomendable llevar a cabo para evitar el Phishing:

Remitente

No podemos fiarnos del dato que aparece en el campo remitente del email, es muy fácil de falsificar y puede no ser quien se indica.

Destinatario

Podemos fijarnos en el encabezado del correo si se ha enviado con copia oculta a otras cuentas, un signo de phishing es que se envíe a miles de personas.

Mala redacción

El contenido del email de un intento de Phishing suele estar mal escrito, pueden detectarse errores típicos de un traductor automático. Un email redactado por una empresa nunca tendrá fallos de escritura tan obvios.

Archivos adjuntos

Muchos emails de Phishing incluyen archivos adjuntos de dudoso uso, evita abrirlos en todo lo posible pues normalmente se trata de malware.

Enlaces salientes

Los emails de Phishing suelen contener enlaces, si tienes dudas sobre la veracidad de un correo, antes de hacer click sobre el enlace, comprueba la dirección web (dominio) al que apunta el enlace para confirmar si realmente redirecciona a la web de la teórica empresa que te ha enviado el email.

Solicitudes extrañas

Muchos correos de Phishing te instan a realizar acciones que no son habituales de la empresa a que la están suplantando, siempre que tengas dudas sobre cualquier acción que te solicite un email, contacta directamente con la empresa para que puedan informarte sobre la veracidad del email.

Asunto

El asunto contendrá ya una parte de esa «solicitud extraña», suelen ser asuntos que te instan a realizar alguna acción con urgencia.

Web a la que redireccionan los enlaces

La web suele ser muy similar a la de la empresa suplantada, en todo caso, pueden detectarse diferencias en diseño, si por diseño no vemos diferencias, debemos fijarnos en la dirección web (dominio) y constatar que es el correcto, si aquí ya vemos que no lo es debemos salir inmediatamente de la web, además normalmente usarán subdominios para aparentar credibilidad como por ejemplo: «http://www.dondominio.com.dominiocualquiera.es/pago/»

Consejos para evitar caer en un Phishing

  • No entregues tus datos (contraseñas, datos de login, tarjetas…) como respuesta a correos. Las empresas nunca te lo solicitarán.
  • Si tienes cualquier duda, por mínima que sea sobre la veracidad de un correo, contacta con la empresa que en teoría te ha enviado el email escribiendo tú mismo su dirección Web en el navegador, nunca uses enlaces del propio email para que puedan verificarte su autenticidad.

Para terminar

Si sospechas que has sido víctima de un Phishing, habiendo indicado datos de login, tarjeta de crédito y/o débito… en una web a la que has accedido desde un enlace sospechoso de Phishing, modifica inmediatamente tus contraseñas, revisa tu banco en busca de pagos fraudulentos y marca el correo desde el que has accedido como SPAM.

Xavier Idevik - Marketing en DonDominio
Autor

Inicié mi carrera en DonDominio el año 2011 como agente de soporte, creciendo paso a paso hasta llegar a director de marketing en el 2018, cargo que sigo ocupando en la actualidad.

Comentarios