TemáTICas Phishing
Uno de los fraudes más conocidos y extendidos por la Red. Se trata de un engaño basado, generalmente, en la suplantación de una empresa o entidad de confianza y reconocida, como puede ser una entidad bancaria, una red social, una empresa energética, una compañía telefónica o un organismo público. El objetivo de los ciberdelincuentes que lanzan este tipo de ataques es hacerse con claves de acceso o información sensible, como pueden ser datos fiscales o bancarios.
Índice de contenidos
- ¿Qué es un phishing?
- ¿Cómo identificar una campaña de phishing?
- La importancia del factor humano
- Entrenamiento antiphishing
¿Qué es un phishing?
Los phishing son un tipo de fraude que se comete generalmente a través del correo electrónico, aunque pueden utilizar otros medios, como mensajes SMS (smishing), redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas (vishing), y cuyo objetivo principal es robar información confidencial y credenciales de acceso. Los ciberdelincuentes para engañar a las víctimas suelen suplantar la identidad de empresas y organizaciones reconocidas, comúnmente aquellas de las que pretenden robar la información, como por ejemplo, entidades bancarias o públicas, empresas del sector energético o de logística, etc.
Los ciberataques de tipo phishing contienen en el cuerpo del mensaje un enlace que lleva a una página web fraudulenta, generalmente con la misma estética que la página web legítima a la que intenta suplantar (web spoofing). En dicha web se solicita la información confidencial que los ciberdelincuentes desean sustraer, generalmente información personal, credenciales de acceso e información financiera. Para ofrecer más veracidad al fraude, la web fraudulenta suele utilizar un nombre de dominio similar al legítimo, siempre buscando como objetivo que las potenciales víctimas caigan en el engaño.
Una vez que la víctima del ataque ha facilitado toda la información que los ciberdelincuentes le solicitan, suele ser redirigida a la página web legítima de la empresa suplantada, con el fin de que el fraude pase el mayor tiempo desapercibido, hasta que la víctima se da cuenta y denuncia el hecho.
Phishing: no muerdas el anzuelo
Blog
Una de las amenazas de ciberseguridad más frecuentes en las pymes es el phishing. El término phishing viene del inglés fishing, que se pronuncia igual, y que significa pescar.
Busca otro al que engañar, yo no voy a picar
Blog
Aprende a identificar los correos maliciosos denominados phishing en los que los delincuentes suplantan la identidad legítima de una entidad para conseguir datos confidenciales.
Campaña de correos fraudulentos suplantando al Tribunal de Cuentas
Avisos de seguridad
El Tribunal de Cuentas ha informado sobre una campaña de correos electrónicos fraudulentos suplantando la identidad del mismo, con el objetivo de obtener información confidencial de las empresas.
Campaña de phishing suplantando a servicios de paquetería
Avisos de seguridad
Recientemente se ha detectado una campaña de phishing suplantando a la empresa de paquetería DHL a través del correo electrónico.
Múltiples campañas de phishing que afectan al Banco Santander
Avisos de seguridad
Se han detectado en las últimas horas múltiples campañas de envío de correos electrónicos fraudulentos de tipo phishing que tratan de suplantar a la entidad financiera Banco Santander. En dichos correos se utiliza como excusa el realizar un proceso de verificación o actualización de datos para evitar el bloqueo o suspensión de la cuenta.
¿Cómo identificar una campaña de phishing?
Las campañas fraudulentas de tipo phishing suelen contar con varios factores comunes que, gracias a su identificación, es posible detectarlas y evitar que puedan afectar a la seguridad de la empresa:
- Analizar el remitente. Los correos de tipo phishing en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan. Este es el primer indicador que ha de comprobarse. En otras ocasiones, los ciberdelincuentes utilizan la técnica email spoofing, que consiste en falsear el remitente, haciendo que parezca proceder de la entidad legítima cuando en realidad no es así.
- Generar sensación de urgencia. las que tendrán que hacer frente a no ser que sigan las instrucciones que facilitan, siendo generalmente estas acceder a una página web fraudulenta e introducir información confidencial. Los ciberdelincuentes suelen utilizar como ganchos la cancelación del servicio o cuenta, multas, sanciones por no acceder en tiempo y forma, etc. Durante la pandemia provocada por el COVID-19 los ciberdelincuentes se han adaptado para utilizar señuelos basados en esta temática y cualquier aspecto que pudiera englobarla, como los ERTE o ayudas gubernamentales.
- Enlaces falseados. Los enlaces suelen aparentar que corresponden a la web legítima o sencillamente contienen un texto haciendo referencia a que sea seleccionado o “clicado”. Para comprobar a dónde apunta realmente el enlace, se puede situar el ratón encima, y ver el cuadro de diálogo que figura en la parte inferior de la pantalla con la verdadera dirección, o utilizar herramientas online.
- Comunicaciones impersonales. Las comunicaciones de entidades legítimas suelen referirse a su destinatario utilizando nombre y apellidos. Por el contrario, los ciberdelincuentes no suelen conocer esos datos personales, por lo que las comunicaciones son impersonales.
- Errores ortográficos y gramaticales. Una auténtica comunicación de cualquier entidad no contendrá errores ortográficos o gramaticales, ya que la comunicación con sus clientes es un aspecto muy cuidado.
¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos
Blog
A veces recibimos correos en los que podemos dudar de la legitimidad del remitente. En este artículo te mostramos las pautas necesarias para distinguir los correos fraudulentos.
Glosario de términos de ciberseguridad: una guía de aproximación para el empresario
Guías
En este glosario encontrarás una explicación sencilla para los términos técnicos utilizados en los artículos del blog de la sección Protege tu empresa.
La importancia del factor humano
Los empleados son fundamentales para prevenir este tipo de fraudes, ya que son ellos quienes gestionan las herramientas de la empresa que utilizan los ciberdelincuentes para perpetrar este tipo de fraude, como el correo electrónico, aplicaciones de mensajería instantánea, dispositivos móviles, etc. Por ello, es fundamental que cuenten con los conocimientos necesarios para identificar este tipo de campañas maliciosas y poder adoptar las medidas oportunas para no caer en la trampa.
Luchando contra la ingeniería social: el firewall humano
Blog
A la hora de implementar medidas de ciberseguridad en una empresa, no todas son tecnológicas. Se requiere del compromiso de todo el personal para constituir un firewall humano.
Ingeniería social: técnicas utilizadas por los ciberdelincuentes y cómo protegerse
Blog
La ingeniería social es una de las técnicas más utilizadas por los ciberdelincuentes para atacar las organizaciones, te explicamos qué es y cómo proteger tu empresa de esta técnica.
Concienciación y formación. Políticas de seguridad para la pyme
Políticas de seguridad para la pyme
Nada más importante que conocer los riesgos para poder evitarlos: ¡enseña para prevenir!
Entrenamiento antiphishing
Una de las mejores formas que existen para aprender a identificar ciberataques de tipo phishing es entrenar a los empleados mediante campañas especialmente diseñadas para ello, sin riesgo de comprometer información confidencial. Para ello, en nuestro kit de concienciación te recomendamos el uso de la herramienta Gophish. Además, dispones de un completo manual con los pasos necesarios para llevar a cabo el entrenamiento.
Kit de concienciación
Posters, trípticos, videos, presentaciones, consejos y simulación de ataques dirigidos , todo gratis para formar y concienciar a tus empleados sobre ciberseguridad.