¿Qué es el phishing?
La palabra phishing significa en inglés “pescando”. Esta palabra se utiliza en este tipo de fraude, porque lo que hacen los delincuentes es equivalente a lo que hace un barco pesquero en alta mar. Suelta sus redes y espera a que los peces piquen.
En este tipo de ciberestafas, sustituimos el barco por un delincuente, las redes con servidores, y los peces con usuarios.
Cualquier estafa en la que se suplanta la identidad de una empresa o entidad para robar dinero, se denomina Phishing.
Un ejemplo de phising
Vamos a poner como ejemplo un ataque complejo y muy peligroso dirigido a una víctima en concreto. También conocido como Spear phising.
El atacante llama a tu número móvil haciéndose pasar por un trabajador de la entidad que está suplantando. Es posible que haya conseguido tu número y nombre en alguna base de datos que se ha filtrado debido a un fallo de seguridad.
Estos delincuentes utilizan la ingeniería social para obtener información en nombre del banco con el que trabajas.
En este ejemplo suponemos que el atacante ha obtenido tu correo, nombre y número de teléfono de una filtración de datos en esa página que te registraste hace años.
-Hola le llamo de cualquier compañía telefónica, de gas o cualquier otro servicio. para ofrecerle un descuento del 80% en su factura.
Si la víctima se muestra interesada, le pedirá datos poco a poco, nombre del banco con el que trabajas, número de DNI, dirección, etc…
Ya solamente con estos datos, podrá elaborar un ataque personalizado, incluso pedirte una fotocopia de tu DNI, etc…
Con todos estos datos, el delincuente podría llegar a clonar tu tarjeta SIM llamando a tu compañía de teléfono y haciéndose pasar por tí.
Si consigue clonar tu tarjeta SIM, podría entrar en tu banco simplemente diciendo que ha olvidado las claves y quiere recuperarlas con su móvil. El resto, te lo puedes imaginar.
Otro ataque mucho más sencillo y no menos peligroso es el envío masivo de SMS y correos electrónicos.
En estos casos, el atacante no sabe nada de la víctima. Y envía SMS y/o correos electrónicos haciéndose pasar por una entidad o empresa. Suelen elegir bancos muy conocidos con gran volumen de clientes, para aumentar la posibilidad de éxito.
Estos SMS son mensajes del tipo: “Urgente. Se ha detectado actividad sospechosa en tu tarjeta y ha sido bloqueada. Pincha aqui para más información.”
Al pinchar en el enlace, iremos a una copia de la página de nuestra entidad, donde se nos pedirá que introduzcamos nuestro número de tarjeta, fecha de caducidad, etc… También podrían pedirnos nuestros credenciales de acceso a la banca online.
Tipos de phishing
Nos podemos encontrar con infinidad de tipos de phishing. Los más comunes, y los que más nos interesan son: el Smishing y el spear phishing.
Definicion de smishing: Cuando los delincuentes utilizan SMS, se llama Smishing. Este tipo de phishing, es el más utilizado recientemente por su sencillez y efectividad.
Cómo evitar el Smishing:
Para evitar picar en este tipo de ataque tenemos que seguir estos consejos:
– Desconfiar siempre de enlaces en los SMS.
– No iniciar jamás sesión, ni dar ningún tipo de dato desde estos enlaces.
Otro tipo de phishing extremadamente peligroso es el Spear Phishing.
En este caso el ataque está dirigido a una víctima en concreto. Ya sea porque han conseguido tu correo, nombre y teléfono en alguna filtración de datos, porque te han llamado por teléfono haciéndose pasar por una empresa de servicios, o las dos cosas.
En estos casos, los atacantes suelen tomarse su tiempo y estudian minuciosamente a la víctima. Posiblemente hayan obtenido el número de cuenta, dirección y banco con el que trabajas, en alguna llamada de teléfono haciéndose pasar por esa compañía eléctrica o de telefonía móvil, a un precio al que no te has podido resistir.
Cómo evitar el spear phishing
En Economía Zero, te damos los siguientes consejos para evitar ser una víctima de este tipo de fraude:
–No proporciones datos personales ni bancarios a comerciales telefónicos que te llamen sin haber solicitado sus servicios.
–Nunca utilices la misma contraseña al registrarse en redes sociales, o cualquier página. Ten cuenta que si esos datos llegan a filtrarse, tendrán acceso a todas tus cuentas que utilicen esa contraseña.
-Mantén tu dispositivo siempre actualizado.
La mejor manera de evitar el phishing, o una regla de oro para este tipo de fraudes, es desconfiar siempre. Si crees que el mensaje que te envían podría ser legítimo, llama a tu banco al teléfono que tienes en la agenda o al que tiene en su página Web. Y procura entrar siempre desde la aplicación de tu banco.
