Las estafas online están a la orden del día, en a4roman nos preocupa mucho la seguridad, la nuestra y la de nuestros clientes. Por eso queremos compartir con vosotros información útil para que no caigáis en técnicas como el phising, vishing, smishing o spoofing.
A la hora de lidiar con las estafas online, siempre he pensado que con usar el sentido común era suficiente.
Que no haría en internet lo que no hago en mi vida diaria.
Pero hay situaciones a las que no estamos acostumbrados y por comodidad o desconocimiento nos fiamos de la persona al otro lado.
Lo que los ciberdelincuentes quieren de nosotros, es nuestro dinero o cualquier información para poder acceder a nuestro dinero.
Una de las formas más comunes es a través de ingeniería social. Para entender este concepto vamos a compararlo con el hacking por ejemplo.
Imaginemos que tengo una cuenta en Twitter y que alguien intenta acceder, por medio de muchos intentos (fuerza bruta). Prueba con diferentes aplicaciones, que automáticamente generan distintas contraseñas y al final de horas, días, semanas…(dependiendo de la fuerza de nuestra contraseña) consigue descifrarla.
Esto sería un hackeo por fuerza bruta.
Por otra parte, para esa misma cuenta en Twitter tengo asociado como pregunta de seguridad ¿Cómo se llama mi mascota? Y en redes sociales pongo fotos de mi mascota con su nombre. Estaríamos dando una información muy valiosa que serviría para obtener acceso a mi cuenta. Esto sería ingeniería social.
Una vez tenemos claro este concepto, podemos pasar a explicar los distintos métodos. Algunos muy elaborados y sofisticados que pueden engañar a cualquiera si no estamos finos.
Phishing (una variación de la palabra fishing, pescar en inglés)
Suelen ser emails que nos llegan con algún enlace para dirigirnos a una página externa donde introducir nuestros datos.
En los inicios de esta práctica se podía detectar muy rápido, porque al enviarse masivamente y incluso con malas traducciones se veía a la legua que nos querían engañar.
Hoy en día están más personalizados, haciéndose pasar por bancos, Correos, Hacienda, Netflix, etc..
O incluso haciendo que descargues un archivo adjunto malicioso que instala malware, como un registrador de teclas (keylogger), lo que permite al atacante robar datos mediante el seguimiento de las pulsaciones del teclado.
¿Qué hay que tener en cuenta para no equivocarte y que se queden con tus valiosos datos?
Pues el sentido común del día a día aplicado a internet:
- Comprobar que el remitente es quien dice ser. Presta atención al nombre del dominio (después de la @ en la dirección de correo) Cuidado con los dominios que se parecen pero son de otro país.
- Escanear con un antivirus los adjuntos recibidos (podemos servirnos de servicios como virus total para escanear esos ficheros sospechosos )
- Si el email incluye un enlace, podemos situar el cursor encima para previsualizar la URL y detectar de un vistazo si es sospechosa.
Vishing o phishing por voz.
Es una variante del phishing que implica el uso del teléfono para engañar al usuario.
Por poner algunos ejemplos, a mi me pasó con mi operador telefónico.
Primero me llamó mi compañía desde un teléfono que no reconocí diciendo que me iban a subir el precio.
Y poco tiempo después, recibo una llamada de la competencia ofreciendo el mismo servicio con mejor precio. En este punto te pedirían tus datos por teléfono para formalizar el nuevo contrato. Y listo ya tienen tu número de cuenta.
Otro ejemplo más elaborado sería una mezcla de phishing y vishing, por el cual, primero nos envían un mail de nuestro banco. Tras abrirlo, sin haber hecho nada, le llega un aviso de apertura de email a los ciberdelincuentes. Con esa información y sabiendo previamente nuestro teléfono de contacto nos llaman haciéndose pasar por empleados del banco, avisándonos de un intento de hackeo.
¡Claro! todo coincide y nos fiamos. Te piden tus datos de acceso o cuenta y ya te han hecho el lio.
La verdad es que este caso puede pillarnos desprevenidos por lo elaborado de la estafa. Pero en estos casos, lo que debemos hacer es colgar el teléfono y ser nosotros quienes solicitemos la ayuda al banco.
Smishing
Es un método de estafa adaptada a los teléfonos pero usando SMS.
Recibes un aviso de Correos para que recojas un paquete, pero pagando gastos de aduana.
Amazon te avisa que accedas a su web para revisar un problema con el envío, o Hacienda nos quiere devolver 400€ por habernos portado bien este año 🙂
Recuerda un poco al phishing desde email, y es que es muy parecido porque intenta hacer lo mismo, pero valiéndose de los SMS. En algunos casos incluso añadiendo el propio logo de la compañía.
Si te coincide que estás esperando un paquete, cosa bastante probable hoy día, te puede llegar a confundir.
Pero te hacemos la misma recomendación, no acceder por el enlace que aparece en el SMS, ir a la web directamente y buscar el problema al que se refieren para comprobar la veracidad.
Spoofing
El spoofing es una técnica de suplantación de identidad y puede ser de varios tipos.
- Suplantación de una página web, haciendo una réplica para engañar al usuario
- Mediante correo electrónico mailspoofing. Este caso es bastante común, se basa en suplantar al remitente. La manera de evitarlo sería tener configurado el protocolo de verificación SPF y DKIM.
Con esto conseguimos que no suplanten nuestra identidad así como que los servidores de correo interpreten nuestro correo como legítimo y no caiga en SPAM.
CONSEJOS:
Si crees que has sufrido uno de estos ataques y has dado tus datos. Lo mejor que puedes hacer es:
- Eliminar los archivos que te hayas descargado por email.
- Escanear nuestro equipo con un antivirus.
- Cambiar las contraseñas que hayan podido estar afectadas.
- Contactar con el banco o con el servicio que hayan intentado suplantar
- Recopilar la información de lo que te ha pasado y ponerte en contacto con el INCIBE para denunciar.
Enlaces interesantes:
Oficina de seguridad del internauta
Test de Google con casos prácticos para saber si nos la colarían fácilmente
Antivirus online Virus Total
En a4roman somos expertos en seguridad y siempre estamos al día de las nuevas estafas online para proteger a nuestros clientes. Si tu también quieres tener un negocio seguro ponte en contacto con nosotros aquí.