Cómo evitar caer en el engaño del phishing



Una encuesta sobre phishing realizada por ESET presentó a los participantes cuatro imágenes de phishing junto con mensajes reales y poco más del 60% no pudo identificarlas a todas correctamente. ¿Te sorprende?

El cuestionario gratuito, llamado ESET Phishing Derby, fue organizado por el equipo de ESET en los Estados Unidos y estaba diseñado para evaluar cuán competentes somos para distinguir mensajes falsos de los reales. El sistema de puntuación se basa en la velocidad y en diferenciar correctamente los mensajes, y el casi 40% de los participantes que identificó correctamente las muestras incluye algunos que identificaron tres correctamente y en un tiempo súper rápido. Entonces, en realidad, es probable que el número de usuarios que identificó los cuatro correctamente sea menor.

El cuestionario no fue diseñado para generar estadísticas, fue diseñado para crear conciencia y ayudar a educar a los participantes sobre cómo identificar correos electrónicos falsos. Curiosamente, los resultados muestran una marcada diferencia en la forma en que los participantes más jóvenes, de entre 18 y 24 años, identificaron las muestras correctamente: 47%, en comparación con solo el 28% de los mayores de 65 años. Las personas de entre 25 y 44 años alcanzaron el 45% y las personas de 45 a 64 años estaban en el 36%. En caso de que se pregunte sobre la validez de estos datos, el número de total de participantes fue de 4.292 y los datos recopilados son un subproducto en lugar de un estudio académico. Un resultado similar se presentó cuando ESET Canadá realizó la misma encuesta a fines de 2020, con el 68% de los participantes que no logró identificar las cuatro muestras correctamente. Si lo deseas, puedes hacer las pruebas  aquí  o  aquí. Las mismas están en inglés.

¿Qué medidas debemos tomar a partir de los resultados? Si está leyendo este artículo es probable que de alguna manera estés interesado en la necesidad de aprender más sobre ciberseguridad y cómo mantenerse seguro en línea. Por lo tanto, permítanme proponerles un desafío para realizar durante un mes: comparta con amigos y familiares el mensaje de ser cauteloso con los correos electrónicos y mensajes que recibimos y enseñe otras buenas prácticas de seguridad que otros puedan adoptar para mantenerse seguro en línea. Hágalo con un enfoque muy específico en el caso de personas en su edad adulta, ya que los datos demuestran que pueden beneficiarse de un poco más de su ayuda.

Podrías pensar que con las continuas campañas de concientización sobre temas de seguridad informática que llevan adelante entidades financieras, compañías de ciberseguridad, gobiernos y similares organizaciones este número debería ser menor, mucho menor, y podría estar de acuerdo. Sin embargo, algunos correos electrónicos de phishing que aterrizan en las bandejas de entrada están muy bien diseñados y se ven y se sienten legítimos, lo que hace que sea mucho más difícil identificarlos como falsos. Este desafío solo se volverá más difícil a medida que los ciberdelincuentes perfeccionen su arte.

“Pescado” fresco

Hace unas semanas recibí un correo electrónico que supuestamente era de American Express. El mensaje era una notificación que indicaba que un intento de transacción sospechosa había sido bloqueado y solicitaba que revisara las transacciones recientes. A primera vista, el correo electrónico parecía legítimo; estaba bien escrito y tenía buenos gráficos. Sin embargo, algunas señales obvias me permitieron determinar que el correo era falso. Para empezar, el hecho de que no tengo una tarjeta American Express Business Platinum.

Sin embargo, si tienes una cuenta, puede ser comprensible por qué este mensaje hizo que caigas en la trampa y des el siguiente paso: abrir el mensaje y posiblemente hacer clic en el enlace que incluye. El correo electrónico está diseñado para crear una reacción emocional, “oh no, hay fraude en mi cuenta, necesito arreglarlo inmediatamente, haré clic”. Además, otro indicador de que este correo que recibí era falso era que el mensaje no personalizado que comenzaba diciendo ‘Estimado usuario de la tarjeta’ y luego de la ‘Cuenta que comienza con 37******’. American Express sabe quiénes son sus clientes y no se refiere a ellos genéricamente en las comunicaciones, sino que incluyen el nombre. Por otra parte, las compañías de tarjetas de crédito normalmente usan los dígitos finales que son más específicos de cada número de cuenta y no los números con los que comienza la cuenta. Como ex empleado de American Express sé que todas las tarjetas emitidas por ellos comienzan con 3 y el segundo número es un ‘4’ o ‘7’, por lo que el número utilizado en el correo electrónico que recibí es genérico y válido para muchos titulares de tarjetas. Esto muestra el amplio enfoque que emplean los ciberdelincuentes para atrapar a una víctima.

Los recursos informáticos mejorados con los que disponen los ciberdelincuentes harán que la detección de estos engaños sea más difícil para los usuarios. Por ejemplo, la posibilidad de rentar capacidad de procesamiento en la nube, las cantidades masivas de información personal disponibles como consecuencia de brechas de datos y, hasta cierto punto, la financiación de los recientes ataques cibernéticos exitosos que se reinvierten para hacer crecer a las organizaciones dedicadas al cibercrimen. Ahora imagine que el correo electrónico de phishing de ‘American Express’ incluye el nombre del titular de la tarjeta y los últimos 4 dígitos de la misma, los cuales fueron obtenidos por los atacantes de brechas de datos anteriores. En un caso así, la probabilidad de que el destinatario haga clic en el enlace sin duda aumentará significativamente.

Otras señales de que estamos ante un phishing

A continuación compartimos algunos consejos más sobre cómo identificar un correo electrónico de phishing:

  • El correo electrónico no está dirigido a usted personalmente, pese a que la empresa que supuestamente es quien envía el correo sabe quién es usted y, por lo general, enviaría correos electrónicos que incluyan su nombre y no de forma genérica.
  • Errores gramaticales y ortográficos: Si bien actualmente hay muchos correos de phishing que están perfectamente escritos, todavía es común que muchas campañas con mensajes un tanto descuidados y con errores. Por lo tanto, considerando que los correos electrónicos de phishing están cada vez mejor diseñados, asegúrese de leerlos dos veces, ya que los errores pueden ser más difíciles de detectar.
  • El correo electrónico no es solicitado; es decir que se trata de una empresa con la que nunca se ha comunicado.
  • Una llamada para que tome una decisión con urgencia; por ejemplo, que haga clic en un enlace e inicie sesión para revisar transacciones o similares
  • La dirección de correo del remitente: pase el mouse sobre la dirección de correo electrónico y observe cuál es la dirección real del remitente y el dominio desde el que se envió.
  • Correos electrónicos con archivos adjuntos, por ejemplo, que afirman ser una factura o notificación de algún tipo.

En los casos en que persiste la incertidumbre sobre si un correo electrónico es real o falso, mi recomendación es visitar el sitio web del supuesto remitente a través de un navegador, iniciar sesión en su cuenta y una vez adentro ver cualquier mensaje o notificación. Cualquier cosa importante estará en las notificaciones de la cuenta. De ser necesario, comuníquese con la empresa por otro canal oficial y valide la solicitud.

Fuente: WeLiveSecurity

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más

Explotan el día cero de la VPN de Fortinet para robar credenciales

Imagen
  Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024",   explica el informe   . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos
Leer más

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS

Imagen
  Microsoft confirmó ayer que una interrupción de nueve horas el martes, que derribó e interrumpió varios servicios de Microsoft 365 y Azure en todo el mundo, fue provocada por un ataque de denegación de servicio distribuido (DDoS). Redmond dice que la interrupción afectó a Microsoft Entra, algunos servicios de Microsoft 365 y Microsoft Purview (incluidos Intune, Power BI y Power Platform), así como a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy y Azure Portal. La compañía confirmó en una   declaración de mitigación   publicada hoy que la causa principal detrás de la interrupción de ayer fue un ataque DDoS, aunque aún no lo ha vinculado a un actor de amenaza específico. "Si bien el evento desencadenante inicial fue un ataque de denegación de servicio distribuido (DDoS), que activó nuestros mecanismos de protección DDoS, las investigaciones iniciales sugieren que un error en la implementación de nuestras defensas amplificó el im
Leer más