Hace unos días a uno de nosotros nos llegó un e-mail supuestamente de PayPal: se había producido un movimiento en la cuenta desde Hong Kong y había que verificar si era correcto o no. Pero si mirábamos la dirección desde donde se había enviado ese e-mail no acababa en “@paypal.es” sino que era “operatingcompany@privateusers.co”.

Y no es algo extraño, la Oficina de Seguridad del Internauta (OSI) detecta en pocas horas 1500 correos fraudulentos. En España los e-mails de Phishing más comunes son los que se hacen pasar por eBay, PayPal, Correos, Endesa y Vodafone ONO.

Nosotros estamos al día de estas técnicas pero hay miles de personas que caen en este tipo de estafa cada día. Hoy os hablamos del Phishing, qué es, qué tipos hay y cómo evitarlos.

Phishing es uno de los métodos más utilizados por los delincuentes informáticos para obtener información de los usuarios, como contraseñas, tarjetas de crédito, etc. La técnica consiste en hacerse pasar por una empresa de confianza vía correo electrónico, redes sociales, SMS…

La información que puede llegar a robarse con esta técnica es innumerable: direcciones de correo, DNI, datos de contacto, tarjetas de crédito, números de cuentas, información de e-commerce, acceso a redes sociales, etc.

¿Cómo funciona?

  1. El delincuente informático envía a un gran número de personas un e-mail haciéndose pasar por una empresa de confianza. Normalmente en el e-mail avisa de que ha habido un movimiento extraño en nuestra cuenta, o que alguien se ha conectado a nuestras redes sociales desde un lugar muy lejano, o que hemos hecho un pago de una cantidad a un usuario, que no se ha podido entregar un paquete, etc.
  2. Un porcentaje de esos usuarios al que les llega el e-mail o mensaje caen en la trampa y alertados clickean en el enlace que el phisher ha incluido en el mensaje.
  3. Esos usuarios acceden a un portal web muy parecido al verdadero (a veces hay que fijarse bien en detalles para poder distinguirlos) donde ingresan sus datos personales.
  4. El phisher, una vez ha conseguido los datos que quería tiene varias opciones: robar dinero de la cuenta bancaria, comprar con la tarjeta de crédito, vender los datos personales, suplantar la identidad del usuario, etc.

Y ahora lo más importante ¿cómo detectar un mensaje o portal web fraudulento? No es fácil, sobre todo cuando da la casualidad de que el usuario es realmente cliente de esa compañía, pero fijándonos bien en los detalles es posible darse cuenta de que estamos ante un mensaje falso.

  • El asunto es una señal de alerta, pero en cambio el e-mail es impersonal y no se dirige a ti con tu nombre o apellido.
  • El remitente es desconocido.
  • Faltas de ortografía. Normalmente el e-mail ha sido traducido automáticamente ya que el remitente es de otra nacionalidad, por lo que el e-mail contendrá faltas de ortografía en el texto.

                                                       

                                                                      Phishing haciéndose pasar por PayPal

Lo primero que tienes que hacer al recibir un supuesto e-mail de una compañía es verificar de qué dirección viene. Las grandes compañías siempre (siempre es siempre) te enviarán un e-mail desde un correo acabado en “@nombredelacompañía”, por ejemplo, si es de eBay acabará en “@ebay.es” y si es de PayPal acabará en “@paypal.es”. Si el e-mail no acaba con el nombre de la empresa (detrás del arroba, no antes) no es verdadero.

                                                      

                                                                               E-mail verdadero de eBay

Aun así, si llegas a clickear en el enlace y llegas a una página web, antes de ingresar cualquier dato personal busca los siguientes indicios que te indicarán si la página es segura: busca el candado de seguridad en la barra de dirección, comprueba que el certificado de seguridad coincide con la URL de la web, comprueba el protocolo seguro (httpS).

                                                             

                                                             

                                                                            Páginas web reales de PayPal y Correos

Últimos consejos:

  • NUNCA envíes a una dirección desconocida de e-mail tus datos personales. Las empresas y los bancos nunca solicitan esta información por correo electrónico.
  • Si dudas de un correo electrónico no hagas click en el enlace.
  • Si aun así quiere entrar en la web para asegurarte, nunca clickees en enlace, escribe la dirección en el navegador.
  • Si sospechas que el e-mail puede ser verdadero y tienes la posibilidad, llama a la empresa o a tu entidad financiera para preguntar.
  • Nunca respondas a un e-mail Phishing, simplemente ignóralo.
  • Comprueba siempre que la web donde vayas a ingresar algún dato personal o bancario empiece por https:// y tenga un candado cerrado al lado de la URL.
  • Si sospechas que ya has caído en uno de estos fraudes, cambia todas las contraseñas de redes sociales, correos electrónicos y llama a tu entidad financiera para avisar y proceder a cambiar todo los datos.

La única forma de librarse de esta técnica es estar atento, así que ya sabéis, antes de dar cualquier dato por internet aseguraos a quien se lo estás dando.

03-11-2016