El Phishing tiene características particulares entre los ciberataques, no depende de ningún tipo de vulnerabilidad del software, sino que necesita, al menos al principio, de la ingenuidad humana. Esto significa que existen dispositivos que los usuarios en general consideran  "inmunes" de ataques informáticos, como por ejemplo los smartphones, pero que en realidad pueden ser el vehículo perfecto para llevar adelante un ataque de Phishing.

Los atacantes que realizan este tipo de maniobras eligen el método más simple y barato para robar la información que necesitan. Esto podría ser el uso de un archivo adjunto infectado con un keylogger que robe contraseñas, o tentar a la víctima para que entregue voluntariamente sus datos en una página web falsa.

Ataques como el "defacement" de la página del New York Times, en el cual todo el sitio web desapareció para ser reemplazado por el nombre de un grupo hacker, comenzó con una persona abriendo un correo electrónico que no debería haber abierto. El incidente que sufrió Target, en el cual los datos de 40 millones de tarjetas de créditos fueron obtenidos, comenzó con un correo electrónico de Phishing a un proveedor de aires acondicionado que trabajaba con la cadena.

Los consumidores se ven afectados tanto como las grandes organizaciones, una encuesta de seguridad realizada por Microsoft este año indica que el 15% de 10.000 usuarios reconoció haber sido víctima de un ataque de Phshing, perdiendo en promedio $158 cada uno.

Mientras que hay algunos Phishing realizados a través de correos electrónicos que suenan cómicos (David Harley de ESET reportó un caso en el que el asunto del mensaje decía "Tengo un proyecto. Si estás interesado, responde" y ningún texto en el cuerpo del mismo) existen muchos que son altamente profesionales y que hasta parecen provenir de nuestros amigos. Esperamos que los consejos que siguen, puedan ayudarlos a no morder el anzuelo.

Los e-mails de Phishing pueden afectarte en cualquier dispositivo

Los ataques de Phishing no siempre dependen del hecho que una víctima haga clic en un enlace infectado con malware, en general son dirigidas a páginas falsas que solicitan contraseñas y detalles de los usuarios. Esto significa que ningún sistema es inmune ya que no importa si se accede desde la web desde una PC, una Mac o un dispositivo móvil (puede ser Android o iOS). Si ingresas tus detalles, los cibercriminales pueden acceder a tu cuenta, ya sea la de tu banco o a la de iTunes (con los datos de tu tarjeta de crédito incluidos). Con respecto a una estafa reciente apuntada a usuarios de Apple, David Harley afirma "Las víctimas son dirigidas, a través de mensajes de spam aparentemente proveniente de Apple, a sitios que están diseñados para parecer sitios reales de Apple, incluso adornados con enlaces a páginas y objetos reales de apple.com. De este modo, los criminales están interesados claramente en contenidos y credenciales de iCloud y iTunes, además de los detalles de las tarjetas de crédito asociadas a esos servicios." Harley además agrega: "A pesar de lo efectivas que puedan ser las defensas técnicas de un sistema operativo, siempre existe una manera de poder sobrepasarlas al "atacar" a la víctima en lugar del dispositivo".

Algunos correos de Phishing con más inteligentes que otros

Algunos correos que pretenden ser de tu banco a veces son crudos y piden que confirmes una contraseña (algo que tu banco NUNCA hará), pero algunos usan trucos astutos para parecer creíbles. Por ejemplo, algunos correos de estafas enviados a ESET Threat Radar ofrecen la opción de elegir "Sí" o "No" para saber si hubo transacciones recientes o por el cambio de detalles de contacto, con enlaces ofreciendo la opción "Sí, ya hice el pedido" o "No, no lo hice", tal como lo reportó David Harley con respecto a nuevas técnicas de Phishing. Esto se aparece la lenguaje usado en llamados telefónicos de seguridad, pero por supuesto, ambos enlaces son falsos. ¡E inclusive a veces ni se molestan en hacer los dos enlaces diferentes!

Para los atacantes es fácil brindarte la carnada necesaria para convertirte en víctima

Si trabajas en una compañía que es un blanco codiciado, deberías asegurarte que tus datos permanezcan privados, de lo contrario, atacantes podrían crear ataques dirigidos para que suenen creíbles. El año pasado, una compañía eléctrica fue blanco de un ataque dirigido que utilizaba una lista publicada de asistentes a una reunión de comité a partir de la información obtenida en la página web de la empresa. Eso fue suficiente para que los cibercriminales crearán un ataque dirigido hecho a medida para la compañía, a través de las bandejas de entrada de todos aquellos que asistían a la reunión.

No hagas clic en e-mails de bancos... incluso si parecen reales

Es muy probable que tu banco no te envíe un correo electrónico con un enlace a su página web en ninguna de sus comunicaciones, por lo tanto, la aparición de este tipo de enlace es un señal de alerta a tener en cuenta a la hora de determinar la veracidad de ese correo electrónico. David Harley dice: "siempre aconsejamos que incluso si un enlace de acceso luce OK, es más seguro ingresar manualmente la URL que ya conocemos como legítima y no la que se presenta en el e-mail, a no ser que no tengas duda que el correo es genuino (como por ejemplo al verificarlo con el remitente del mismo). En general, cualquier correo que te pida que hagas clic en un enlace incluido en el mensaje para que accedas a tu cuenta, podría ser falso o proveniente de un banco que sabe tan poco de phishing que debería considerar sus acciones."

Si no se dirigen por tu nombre, probablemente sea falso

Los cibercriminales han mejorado mucho utilizando logos convincentes e inclusive copiando el lenguaje que bancos y otras instituciones utilizan. Un ejemplo reciente, supuestamente de Barclays, suena extremadamente convincente: "Necesitamos su ayuda para resolver un inconveniente con su cuenta. Para que nos dé tiempo para trabajar en conjunto, hemos limitado temporariamente lo que usted puede realizar con su cuenta hasta que el inconveniente sea resuelto. Entendemos lo frustrante que puede ser no tener el acceso completo a su cuenta de Barclays. Queremos trabajar con usted para que  su cuenta vuelva a la normalidad lo antes posible." Esto se ve bastante convincente, pero si el correo electrónico fue enviado como parte de una campaña masiva de spam, el mismo no será dirigido a tí. Generalmente comenzará con un "Querido usuario" o algo similar. Este es un signo casi de certeza de que se trata de un atacante...o de una compañía demasiado ignorante sobre seguridad que quizás ni valga la pena tener algo que ver con ella...

Los números telefónicos no son una garantía que el e-mail sea real

No confíes en correos que parezcan profesionales en donde haya un número telefónico decontacto, ya que podría ser otra treta de los cibercriminales. El número podría funcionar pero, en lugar de la compañía con la que esperas hablar, te estarías poniendo en contacto con un estafador que intentará conseguir tus datos personales.

Si el departamento de IT de tu compañía envía emails, no necesitan que "confirmes" tu contraseña

Ten cuidado, algunos ataques dirigidos pueden parecer provenientes de tu propio departamento de IT, contactos comerciales o directores dentro de tu organización. Si un enlace web de tu departamento de IT te pide repentinamente tus credenciales de acceso o tu contraseña, no las brindes, ya que se trata de una estafa bastante común utilizada por cibercriminales para ingresar a redes corporativas. Ponte en contacto con tu departamento de IT y pregúntales si es real: seguramente te lo agradecerán.

Desconfía de inesperadas buenas noticias

Los cibercriminales disfrazan sus ataques de cualquier cosa, desde invitaciones a bodas hasta devoluciones de impuestos, con correos que coinciden con los plazos de vencimiento de impuestos. Esta táctica está ganando cada vez más popularidad, con una ola de correos electrónicos enviados en Gran Bretaña este año, un 50% más que los enviados todo el año pasado en total. Las autoridades impositivas tienden a realizar sus comunicaciones a través del correo postal para prevenir el fraude. Gareth Lloyd, jefe de seguridad digital de HMRC (el departamento británico encargado de los impuestos), dijo: "HMRC nunca contacta mediante correos electrónicos a los usuarios que adeudan el pago de sus impuestos. Nosotros siempre envíamos una carta a través del correo postal."

Adaptación de un post de RobWaugh para We Live Security