3 aspectos fundamentales sobre phishing que debes considerar

Luego de haber repasado algunas consideraciones sobre el phishing, una clásica amenaza que a lo largo de los años sigue estando presente, seguiremos ahondando en el tema. En este post veremos aspectos fundamentales de esta técnica y fallas básicas que suele tener, para que puedas identificar mensajes falsos.

Todo el malware está dirigido…

…significa que algunos programas maliciosos atacan a más cantidad de personas que otros. Pero más allá de que esté o no involucrado el malware, los mensajes de fraude masivos tienen una falla básica.

La mayoría de los suplantadores de identidad no saben nada acerca tuyo. Aquí no estamos hablando de phishing dirigido, de malware dirigido ni de APTs. En esas instancias, el malhechor ya hizo algún tipo de investigación sobre el individuo a quien dirige el ataque antes de su primer acercamiento.

Sin embargo, los suplantadores de identidad que atacan genéricamente a usuarios de bancos y de tarjetas de crédito, a usuarios con cuentas para la compra de aplicaciones en el mercado, a consumidores de servicios públicos y demás, normalmente toman un enfoque más disperso y al azar: enviar una enorme cantidad de mensajes con la esperanza de llegar a la víctima ocasional, que a su vez sea usuario del servicio por el cual se hacen pasar y que también sea lo suficientemente incauto para caer en la estafa.

Anatomía del phishing: 3 aspectos a tener en cuenta

1. El remitente

El correo electrónico enviado por un proveedor con quien no tienes relación alguna ya es de por sí sospechoso. Sin embargo, es sorprendente la frecuencia con la cual muchas personas preguntan si un mensaje que recibieron se trata de phishing aunque provenga de un banco u otro servicio que no usan.

Los errores ocurren y es posible que recibas un correo que en realidad era para otra persona. Si crees que es tu caso y quieres hacer algo al respecto, recuerda que probablemente se trate de una estafa y procede basándote en eso. En otras palabras, si el mensaje incluye un archivo adjunto o un vínculo web para que respondas, asume que son maliciosos.

Es muy común que el software malicioso como el ransomware se distribuya en mensajes que digan algo similar a “Gracias por haber gastado 650 dólares con nosotros. Abra el documento adjunto para obtener más información”. Tras lo cual, el archivo adjunto resulta ser algún tipo de troyano.

Nunca hagas clic en el adjunto o en el vínculo: ponte en contacto con la empresa a un número telefónico, a una dirección de correo electrónico o mediante un formulario de contacto desde un sitio web u otra fuente de información que sabes que es genuina.

No obstante, si recibes un correo electrónico que aparenta ser de un proveedor de servicios que sí usas, pero con una dirección de correo electrónico distinta a la que usas habitualmente cuando escribes a ese banco o servicio en particular, considérala igual de sospechosa. De hecho, puedes convertir esta posibilidad en una manera de incrementar tu seguridad.

2. Tu identificación de cuenta

Una precaución potencialmente útil es crear una dirección de correo electrónico separada (la mayoría de los proveedores de servicios de Internet lo permitirán, pero también puedes usar un servicio como Gmail para crear cuentas adicionales), con un nombre único (por ejemplo, correo.de.mi.banco@dominio.com) y usarla exclusivamente para esa actividad, sin publicarla en ningún otro lado ni usarla para enviar correo con un propósito distinto.

Esta es una manera fácil de verificar que la empresa te envió el correo a la dirección correcta. Aún así ten en cuenta que no es una garantía por sí misma de que el mensaje es genuino. Aunque nunca uses la dirección con otro propósito, existe la posibilidad de que caiga en manos de estafadores.

Y aunque esto no ocurra, los criminales muchas veces usan software para generar direcciones automáticas, que pueden existir o no. No les importa si algunos de esos correos no llegan a ninguna parte porque no pagan servicio postal y no ven los mensajes de direcciones rechazadas.

Si tienes una cuenta en la institución que aparentemente te está mandando el correo, pero el mensaje no es personal (es decir, no está dirigido a ti usando tu nombre propio o una identificación específica como un número de cuenta verificable), considéralo altamente sospechoso. Los saludos iniciales como “Estimado cliente del Lloyds Bank o “Estimado usuario de eBay” sugieren que el remitente está tratando de llegar a todo aquel que reciba el correo y que no tiene ninguna idea de quién eres o si en realidad tienes una cuenta o alguna relación comercial con Lloyds o eBay.

Si la identificación es una de tus direcciones de correo electrónico (por ejemplo, “Estimado henry056@hotmail. com”, es igual de sospechoso. Para el estafador (o mejor dicho, para su software) es un asunto insignificante insertar la dirección de correo electrónico en el mensaje, por lo que deberías asumir que un correo que no “sabe” nada acerca tuyo excepto tu dirección de correo electrónico (aunque tengas alguna relación con el supuesto remitente) no es genuino o, en el mejor de los casos, se trate solo de spam.

Sin embargo, si un mensaje incluye tu nombre real, tampoco es garantía de que sea genuino. Existen muchas formas de obtener ese tipo de información. De hecho, a veces se puede deducir de tu nombre completo de correo electrónico, sin siquiera necesidad de recurrir a otras fuentes.

Si cuentas con una identificación de cuenta, en especial si es un código numérico o alfanumérico, debes verificarlo. Si no tienes dicho identificador, quizá directamente no deberías utilizar el servicio. Por ejemplo, es común que los mensajes de phishing que se hacen pasar por eBay digan “Se incluye el nombre con que te registraste como prueba de que el mensaje procede de eBay”, pero en realidad no muestran ningún nombre de usuario, o quizás incluyan un nombre inventado con la esperanza de que no te des cuenta.

Recuerda que el hecho de que un mensaje sí indique que el remitente conoce tus detalles personales tampoco es una prueba inequívoca de que se trata de un mensaje genuino: sabemos que hay datos que se pueden filtrar del proveedor de servicios, que aunque no incluyen las credenciales de inicio de sesión, sí incluyen información suficiente como para que puedan enviarte un mensaje.

3. A quién se envió el correo

La lectura de los encabezados de los mensajes es un arte oscuro que requiere años de estudio en Hogwarts y un Ph. D. en Artes Oscuras. Bueno, en realidad no es para tanto. Pero es bastante intimidante para quienes no están familiarizados con el lado esotérico de la tecnología de mensajería. No obstante, aquí incluyo algunas cosas de las que hay que cuidarse, que no requieren la lectura del encabezado completo.

Si el correo no parece estar dirigido a nadie, te lo enviaron como copia oculta, probablemente no solo a ti sino también a más cantidad de personas. No confíes en él: si trata temas confidenciales, probablemente puedas asumir que el remitente no sabe que tu mensaje “único” en realidad se envió a montones de otras personas al mismo tiempo.

Usualmente parece estar dirigido a otra persona, incluyendo al remitente aparente del correo, o a un nombre genérico como “cliente” o “lista de clientes”. A veces esto es apropiado para el correo que se envía a muchas personas, en especial si el campo de copia oculta se usa para preservar su privacidad. No obstante, si el mensaje incluye información confidencial, como datos bancarios, demuestra una falta inapropiada de personalización: asume que es falso.

“¡Pero si lo mandaron de mi banco!”

Si recibes correo electrónico que aparenta proceder de una institución con la que tienes una relación comercial (por decir, tu banco, eBay o una agencia de impuestos), eso no significa que debes aceptarlo a ciegas.

  • Si el mensaje te solicita que te autentiques en un sitio web y no es el tipo de correo que sueles recibir de ellos, es sospechoso. Las advertencias de seguridad son particularmente sospechosas: los correos electrónicos donde te avisan que tu cuenta fue comprometida es un tipo de phishing muy común. Las notificaciones telefónicas también pueden ser maliciosas, pero con ellas es más fácil notar si son genuinas: en todo caso, no puede ser puramente al azar y hay maneras de verificarlo, por ejemplo, si se llama a un número conocido válido (por ejemplo, el número que figura en una factura o en un resumen de cuenta).
  • Incluso aunque estés seguro de que el correo es genuino, no hagas clic en una URL integrada que te dirija a una página de registro de usuario. Si ya tienes una relación existente con dicha organización, por ejemplo, si ya realizaste operaciones bancarias en línea, deberías contar con un procedimiento de inicio de sesión estándar: úsalo en vez de responder a un correo electrónico que posiblemente haya sido enviado al azar. Si necesitas contactarlos por teléfono, evita usar los números telefónicos incluidos en el mensaje. Así como se pueden alterar los sitios web, ocurre lo mismo con los números telefónicos. Usa la guía telefónica u otro recurso confiable como tu resumen de cuenta.

Y ya que hablamos de URLs, hay claros indicadores de que hay intenciones maliciosas por detrás que puedes identificar, pero eso lo dejaremos para la próxima entrega. ¡No te la pierdas!

Autor David Harley, ESET

Síguenos