Llegamos a ustedes gracias a:



Reportajes y análisis

5 maneras de detectar un correo electrónico de phishing

[22/05/2017] Nadie quiere creer que podría caer en una estafa de phishing. Sin embargo, de acuerdo al informe de Verizon, 2016 Data Breach Investigations, 30% de los correos electrónicos de phishing son abiertos. Sí, es cierto -el 30%. Ese increíble porcentaje de clics explica por qué estos ataques siguen siendo tan populares: simplemente funcionan.

El phishing funciona porque los cibercriminales hacen grandes esfuerzos para camuflar su "cebo" como una comunicación de correo electrónico legítima, con la esperanza de convencer a los objetivos para que revelen información de acceso y la contraseña, y/o descargar software malicioso; pero todavía hay un número de maneras de identificar correos electrónicos de phishing. Aquí están cinco de los elementos más comunes que debe buscar.

1. Esperar lo inesperado

En un informe del 2016 de Wombat Security, las organizaciones informaron que los ataques de phishing más exitosos fueron disfrazados como algo que un empleado estaría esperando, como un documento de recursos humanos, una confirmación del envío, o una solicitud para cambiar una contraseña que parecía que venir desde el departamento de TI.

Asegúrese de examinar cualquiera de esos mensajes de correo electrónico antes de descargar archivos adjuntos o hacer clic en los enlaces incluidos, y use el sentido común. ¿Ha hecho algo para tener que esperar una conformación? ¿El correo electrónico proviene de una tienda de la que no suele ser cliente? Si es así, es probable que sea un intento de phishing.

No dude en llamar a la línea de servicio al cliente de una empresa, su departamento de recursos humanos o el departamento de TI para confirmar que cualquier tipo de correos electrónicos son legítimos -es mejor prevenir que lamentar.

2. Comprobar nombre

Si recibe un correo electrónico o incluso un mensaje instantáneo de alguien que no conoce y que le indica que inicie sesión en un sitio web, tenga cuidado, especialmente si esa persona le está pidiendo que renuncie a su contraseña o número de la seguridad social. Las compañías legítimas nunca piden esta información a través de mensaje instantáneo o de correo electrónico, así que esto es una enorme bandera roja. Su banco no necesita que envíe su número de cuenta -ellos ya tienen esa información. Lo mismo ocurre con el envío de un número de tarjeta de crédito o la respuesta a una pregunta de seguridad.

También debe verificar dos veces la dirección "De" de cualquier correo electrónico sospechoso; algunos intentos de phishing utilizan la dirección de correo electrónico de un remitente que es similar, pero no igual a, la dirección de correo electrónico oficial de la empresa.

3. No haga clic en enlaces no reconocidos

Por lo general, las estafas de phishing intentan convencerlo de proporcionar su nombre de usuario y contraseña, para que puedan tener acceso a sus cuentas en línea. A partir de ahí, pueden vaciar sus cuentas bancarias, hacer cargos no autorizados en sus tarjetas de crédito, robar datos, leer su correo electrónico y bloquearlo de sus cuentas.

A menudo, incluyen las URL incrustadas que le llevan a un sitio diferente. A primera vista, estas URL pueden parecer perfectamente válidas, pero si se pasa el cursor por encima de la URL, normalmente se puede ver el enlace real. Si la dirección de hipervínculo es diferente a lo que se muestra, es probable que sea un intento de phishing y no debe hacer clic en ella.

Otro truco que utilizan las estafas de phishing es el nombre de dominio engañoso. La mayoría de los usuarios no están familiarizados con la estructura de nombres DNS, y por lo tanto se dejan engañar cuando ven lo que parece ser un nombre de empresa legítimo dentro de una URL. La convención estándar de nombres DNS es dominio secundario punto dominio completo punto com; por ejemplo, info.LegitExampleCorp.com. Un enlace de ese sitio podría llevarlo a la página de "información" de la página web legítima de Example Corporation.

Una estafa de phishing sin nombre de dominio, sin embargo, estaría estructurada de manera diferente; incorporaría el nombre comercial legítimo, pero sería colocado antes del dominio malicioso al que se dirige un objetivo. Por ejemplo, Nombre de dominio legítimo punto nombre de dominio peligroso punto con: LegitExampleCorp.com.MaliciousDomain.com.

Para un usuario promedio, ver el nombre comercial legítimo en cualquier lugar de la URL sería asegurarles que es seguro para hacer clic en él. Alerta de spoiler: no lo es.

4. Ortografía y/o gramática pobre

Es muy poco probable que un departamento de comunicaciones corporativas le envíe mensajes a su base de clientes sin tener que pasar a través de al menos un par de rondas de verificación de ortografía y gramática, edición y corrección de pruebas. Si el correo electrónico que recibe está plagado de estos errores, es una estafa.

También debe ser escéptico de saludos genéricos como "Estimado cliente" o "Estimado miembro". Estos deben ser una señal de alerta porque la mayoría de las compañías usarían su nombre en sus saludos de correo electrónico.

5. ¿Me está amenazando?

"Se requiere una acción urgente" "Su cuenta será cerrada" "Su cuenta ha sido comprometida" Estas tácticas de intimidación son cada vez más comunes que la promesa de "enriquecimiento instantáneo"; aprovechando la ansiedad y la preocupación de proporcionar su información personal. No dude en llamar a su banco o institución financiera para confirmar si algo no le parece correcto.

Y los estafadores no solo utilizan los bancos, tarjetas de crédito y proveedores de correo electrónico como tapadera para sus estafas, muchos de ellos utilizan la amenaza de la acción de las agencias gubernamentales como el IRS y el FBI para asustar a sus objetivos inconscientes para que renuncien a sus bienes. Aquí está el punto: las agencias gubernamentales, sobre todo, no utilizan el correo electrónico como medio de comunicación inicial.

Las estafas de phishing continúan evolucionando

Esta de ninguna manera es una lista exhaustiva. Los estafadores de phishing están en constante evolución, y sus métodos son cada vez más astutos y difíciles de rastrear. Las nuevas tácticas incluyen este terriblemente eficaz ataque de Gmail, inscripción para los servicios de salud de fin de año, ofertas a bajo costo de Amazon, y los intentos de temporada de impuestos.

Por lo tanto, confíe en su instinto. Si una oferta parece demasiado buena para ser verdad, probablemente lo es. Si algo parece la más mínimo "fuera de lugar", no abra el correo electrónico ni haga clic en los enlaces.

Más recursos sobre el phishing y cómo protegerse a sí mismo se pueden encontrar en Phishing.org.