Cabecera-v2-web.jpg

6 claves para reconocer correos de phishing

Presta atención a estas 6 claves para reconocer correos de phishing falsos.

1) ¿El mensaje realmente demuestra que el remitente sabe algo acerca tuyo y, ante todo, ya tienes relaciones comerciales con él?
  • Los proveedores de servicios competentes no enví­an mensajes dirigidos a "Estimado cliente", sin ninguna clase de personalización, para indicar que en realidad saben quién eres.
  • Tampoco debes caer en la trampa de la "falsa personalización" del mensaje, como un número de referencia sin significado y que no se puede verificar.
  • Y aunque el mensaje incluya datos personales, recuerda que no es una prueba inequí­voca de que es genuino.

2) Espera lo peor de los archivos adjuntos y los ví­nculos integrados
  • Los proveedores de servicios competentes no enví­an mensajes pidiéndote que inicies tu sesión desde un ví­nculo integrado en el mensaje, incluso aunque el mensaje esté adecuadamente personalizado. Si recibes un mensaje con estas caracterí­sticas, primero verifica el ví­nculo en forma independiente con una fuente conocida y luego considera cambiar tu proveedor por otro que tenga alguna idea sobre medidas de seguridad.
  • No confí­es en archivos no solicitados o en ví­nculos integrados en el mensaje, aunque provengan de empresas o de amigos de confianza. Hasta un experto en seguridad puede cometer el error de dejar un ví­nculo no deseado en un mensaje o un artí­culo. También es fácil alterar las direcciones de correo electrónico, por ejemplo, para que parezca que proviene de otra persona y no del remitente real. 
  • La naturaleza de la Internet del siglo XXI les permite a los mensajes ocultar o disfrazar la identidad del remitente de muchas formas. También es posible que se enví­e un correo desde la cuenta de una persona inocente sin su conocimiento. Si tienes alguna duda, verifí­calo siempre con el supuesto remitente. (Si lo llamas por teléfono o le enví­as un correo electrónico, nunca uses los ví­nculos o los números telefónicos que figuran en el mensaje: usa los detalles de contacto que ya sabes que son correctos).
  • No asumas que los ví­nculos, los números telefónicos y las direcciones de correo electrónico integradas al mensaje son correctas, ni tampoco asumas que un ví­nculo web te llevará a la dirección que te está mostrando. Hay muchas formas de disfrazar un ví­nculo malicioso para que parezca algo muy distinto, ya sea que esté en un correo electrónico, un chat o similar.
  • Las formas sofisticadas en que los ví­nculos maliciosos suelen disfrazarse en los correo electrónicos de phishing para hacerse pasar por un sitio legí­timo obligó a los desarrolladores a volver a diseñar los navegadores web para facilitar la detección de dichas suplantaciones. (Los primeros correos electrónicos de phishing se basaban en el aprovechamiento de errores de los navegadores populares para ocultar los ví­nculos reales de destino)-

3) Toma precauciones elementales
  • No olvides aplicar precauciones elementales como pasar el cursor sobre el ví­nculo para ver el enlace verdadero. Sin embargo, en ciertos casos, el ví­nculo que se muestra es el primero de una serie de ví­nculos redirigidos, lo que hace imposible validar el "destino final" sin primero haber atravesado la cadena completa.
  • De cualquier forma, no siempre es fácil distinguir entre un sitio genuino y uno falso solo con la URL, aunque se muestre la real. El envenenamiento de la caché del DNS, por ejemplo, le permite al atacante redirigir una búsqueda web a una dirección IP bajo el control del atacante.
  • Debes ser extremadamente prejuicioso con los ví­nculos acortados.

4) No dejes que te alcancen las amenazas

No entres en pánico ni reacciones de inmediato sin las precauciones apropiadas ante la amenaza de que van a suspender o eliminar tu cuenta (por ejemplo) en un plazo de 24 horas. La mayorí­a de las empresas no tienen tanta prisa por perder a un buen cliente.

5) No te entusiasmes con los clics

No olvides que solo por tener un antivirus y otros programas de seguridad no debes hacer clic indiscriminadamente asumiendo que tu software va a detectar todos los códigos y sitios web maliciosos. Ningún investigador o desarrollador de seguridad respetable va a asegurar que su producto detecta todos los códigos maliciosos, conocidos y desconocidos.

6) Que no te convenzan las presentaciones elaboradas

Los mensajes de phishing rudimentarios, de solo texto y muchas veces con faltas de ortografí­a, que eran tan comunes hace unos años, hoy en dí­a son bastante inusuales, pero la forma básica del ataque no cambió mucho: solo mejoró la calidad de la Ingenierí­a Social utilizada y su presentación, más profesional.

No obstante, la superficie de ataque y el rango de vectores de ataque se amplió considerablemente: mientras que la mayorí­a de ataques de phishing se distribuí­an por medio del correo electrónico, ahora vemos el aprovechamiento de otras formas de mensajerí­a, como los SMS (mensajes de texto), medios sociales como Facebook y Twitter, e incluso el correo de voz.

Y aunque el malware relacionado con el phishing sigue atacando sobre todo a Windows, los ataques que se basan puramente en la Ingenierí­a Social y en el uso de sitios web falsos pueden atacar cualquier plataforma, incluyendo smartphones y tabletas. De todas formas, si lees esta guí­a para identificar correos falsos tendrás una forma práctica de evitar estas amenazas.

Cuanto más precavido seas, cuanto mejor informado estés y cuanto más pienses antes de hacer clic, más posibilidades tendrás de dejar al phishing a la deriva.


Más Información: http://www.welivesecurity.com/la-es/2015/01/23/6-c...

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11