Ir al contenido principal

Pishing

Pishing es una clase de ciber crimen en el que uno o varios objetivos son contactados por Email o por un mensaje de texto (SMS) haciéndose pasar por una institución legitima o por una persona conocida para obtener datos sensibles del individuo como información bancaria y detalles de tarjetas de crédito y contraseñas.

La palabra phising es parecida a fishing (pescando) y se pronuncia de forma similar, se cree que se puso ph de Phone (teléfono) ya que los primeros engaños eran telefónicos.

Imagen sobre Pishing


Una de las principales estrategias es asustar al destinatario y sobre todo usa la premura de actuar rápidamente para evitar un supuesto mal para la víctima. En esencia se trata de enviarle a un sitio Web para que evite el problema y es todo lo contrario aquí empiezan sus problemas.

Una vez pica el usuario será enviado a un sitio web imitación del legitimo y empiezan a solicitarle que introduzca las credenciales de acceso con lo que le estamos facilitando al ciberdelincuente una información valiosa.

Debemos tener en cuenta que el Pishing es la forma mas sencilla de ciberataque y la mas efectiva ya que cuenta con la bondad del usuario y sobre todo del novato en estas lides.

“En 2013, se robaron 110 millones de registros de clientes y tarjetas de crédito de los clientes de Target”.

Uno de los principales objetivos del Phising en la actualidad son las redes sociales.

Ataques Phising

Existen varios tipos de ataques de Phising:

Spear Phising

Es un ataque directo de ahí su termino Spear (Lanza) se trata de atacar a una persona de forma directa previamente recabando información sobre ella para que confíe y pique el anzuelo.
Pongamos un ejemplo: imaginemos que a un empleado encargado de realizar pagos en una empresa le dirigimos un mensaje enviado supuestamente por un directivo de la misma que le encarga de forma apremiante que pague a un proveedor conocido y le enviamos el enlace para que lo realice inmediatamente. 

Clone Phising (Phising de  clonación)

En este ataque los delincuentes lo que hacen es clonar correos con mensajes adjuntos y enviarlos en nombre de alguien de confianza de la organización suplantando su identidad. Sustituyendo los ficheros por los que nos van a colar el engaño.

419 Phising nigeriano

Un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe nigeriano es una de las estafas más antiguas de Internet. El phishing del príncipe nigeriano procede de una persona que afirma ser un funcionario del gobierno o miembro de una familia real que necesita ayuda para transferir millones de dólares desde Nigeria. El correo electrónico se marca como 'urgente' o 'privado' y su remitente solicita al destinatario que proporcione un número de cuenta bancaria para remitir los fondos a un lugar seguro.

En una divertida actualización de la clásica plantilla del phishing nigeriano, el sitio web británico de noticias Anorak informó en 2016 de que había recibido un mensaje de correo electrónico de un tal Dr. Bakare Tunde, que afirmaba ser el director del proyecto de Astronáutica de la Agencia Nacional de Investigación y Desarrollo Espacial de Nigeria. El Dr. Tunde afirmaba que su primo, el comandante de las Fuerzas Aéreas Abacha Tunde, se había quedado atrapado en una antigua estación espacial soviética durante más de 25 años. Pero, por sólo 3 millones de dólares, las autoridades espaciales rusas podrían organizar un vuelo para llevarle a casa. Todo lo que los destinatarios tenían que hacer era enviar la información de su cuenta bancaria para transferir la cantidad necesaria, y el Dr. Tunde les pagaría una comisión de 600.000 dólares.

El número “419” está asociado con esta estafa. Hace referencia a la sección del código penal nigeriano que trata sobre fraude, los cargos y las penas para los infractores.

Phising Telefónico

Se conoce también como Vishing (Voice Phising) y alguien del banco, agencia tributaria, policia etc nos apremia a que le facilitemos un número de cuenta para resolver un determinado problema. Existe otro tipo llamado smishing que lo hace por SMS y actúa de forma similar.

Reconocer los ataques de Phising a veces es complicado pero ante la duda mejor perder un correo que ser engañado y sobre todo robado.

Ah se me olvidaba, compañías como Amazon son usadas para suplantar mensajes y solicitarnos confirmación de tarjetas de crédito para realizar pagos que no han podido realizarse.


Comentarios

Entradas populares de este blog

Chrome: desactivar la opción “Abrir siempre archivos de este tipo”

En Chrome, al descargar un archivo aparecen tres opciones en el desplegable de la barra de descargas:

Pérdida de móvil

En estos días de tanto viaje en medios de transporte variados, puede ser fácil perder nuestro teléfono móvil.

Combinar Correspondencia con varias cuentas en Outlook

A veces necesitamos realizar un mailing (Combinar correspondencia) y disponemos de varias cuentas de correo en nuestro Outlook. Comprobamos que no funciona el elegir una de ellas como predeterminada ya que para el envío por correspondencia usa un servicio llamado MAPI que no usa la cuenta predeterminada.  Antiguamente en versiones como la 2010 de office simplemente con cambiar el fichero de datos predeterminado de la cuenta bastaba para ello. Actualmente (nosotros usamos 365, equivalente a la 2016) la solución pasa por crear un perfil de correo en el que configuremos la cuenta que usaremos para combinar correspondencia. Adjuntamos un video en el que se explica en Windows 10 como crear un perfil de correo de una cuenta. Una vez creado ese perfil de Correo pasaríamos a realizar la combinación de Correspondencia y en el último paso cuando  realizamos la combinación de correspondencia nos solicitará el perfil a usar para poder enviar los correos y en ese caso elegiríamos el perfil asociado