¿Qué es Phishing?
El phishing es un tipo de “Ingeniería Social” que intenta obtener, mediante engaños datos personales del usuario (datos bancarios números de tarjeta de crédito, contraseñas, datos de cuenta u otro tipo de información).
El phisher “pescador” solicita con carácter de urgencia la confirmación o el envío de determinados datos. Los autores de estos fraudes poseen elevados conocimientos informáticos y técnicos, y, por norma general, utilizan el envío masivo de mensajes de forma indiscriminada, para así poder llegar a miles de destinatarios (en modo de spam). Para poder llegar al mayor número de personas posibles, utilizan mensajes y ofertas atractivas para sus víctimas. Su forma de actuar es redireccionar, mediante el engaño, a las víctimas a sitios web falsos, semejantes a páginas web reales, normalmente relacionadas con páginas web de banca on-line, redes sociales, cuentas de correo o semejantes, mediante la utilización de mensajes de correo electrónico falsos, SMS y mensajes de telefonía móvil (WhatsApp…). Por medio de estas páginas, normalmente el usuario debe introducir sus datos bancarios (con el fin de actualizarlos), reiniciar sus credenciales (debido a problemas técnicos en los servidores), realizar cualquier transacción (a través de la cual es necesario comprobar el usuario), o simplemente acceder a un nuevo servicio para que el usuario se beneficie de alguna oferta.
Los enlaces que este tipo de engaño suelen proporcionar son páginas que emulan webs verdaderas, y redirigen hacia otro servidor aparentemente igual al original, controlado por el atacante.
Este tipo de aplicaciones incluidas dentro de la categoría de robo de información personal o financiera se pueden clasificar de la siguiente forma:
Uso de nombres de compañías ya existentes: los cibercriminales adoptan la imagen corporativa y funcionalidad del sitio web de una empresa ya existente.
Uso del nombre de un empleado real de una empresa para enviar correo phishing: en este caso, la víctima puede comprobar que realmente existe la persona que dice hablar en nombre de la empresa.
- Direcciones web de apariencia correcta: el aspecto del correo fraudulento suele conducir al lector hacia sitios web con aspecto similar al de la empresa que están utilizando para robar la información.
- Factor miedo: para el defraudador es fundamental conseguir una respuesta inmediata por parte del usuario, con lo cual los mensajes suelen ser amenazas con algún tipo de pérdida, ya sea económica o de la propia cuenta, en el caso de que no se sigan las instrucciones indicadas. Esta necesidad de una rápida respuesta por parte de los defraudadores se debe principalmente a que una vez que se informa a la compañía que sus clientes están siendo objeto de este tipo de prácticas, el servidor en el cual se aloja el sitio web fraudulento se cierra a los pocos días después.
- Man-in-the-middle (hombre en el medio): el defraudador se sitúa entre el usuario y la página web real, actuando a modo de proxy, capaz de escuchar toda la comunicación entre ambos. Aprovechamiento de vulnerabilidad de tipo 'Cross-Site Scripting': simulando una web segura perteneciente a una entidad bancaria. Aprovechamiento de vulnerabilidades en navegadores.
Tipos de phishing
- Tradicional: este tipo de phishing está ligado a una sola página web, donde se alojan los contenidos del portal falso. Pharming o redirector: consiste en redireccionar al usuario/a del dominio de una web de confianza a otra falsa, a simple vista idéntica, desde donde podrán substraer sus datos personales o bancarios. El usuario/a es redirigido a la página falsa del banco de forma automática, sin necesidad de pulsar ningún enlace..
- Spear phishing: es una estafa dirigida a personas o grupos reducidos, seleccionadas previamente y a las que se les ha hecho un seguimiento. Para ello, crean una cuenta o correo electrónico personalizado, a nombre de alguna persona o empresa conocida para generar confianza. Este tipo de phishing tiene como finalidad el acceso a datos confidenciales (por ejemplo secretos comerciales). El correo tiene un archivo adjunto, que al abrirlo permitimos el acceso a nuestro ordenador y a todos los datos almacenados.
- Smishing: es un tipo de phishing dirigido a usuarios de telefonía móvil, en el cual, por medio de mensajes le comunican que ha ganado un premio, que se ha dado de alta en un servicio… Para activarlo, hay que llamar a un número en el que se solicitan los datos bancarios.
- Vishing: es un tipo de phishing en el que los ciberdelincuentes marcan números de teléfonos de una determinada zona. Cuando la llamada es contestada, una grabación alerta al interlocutor de que su tarjeta de crédito ha sido utilizada de forma fraudulenta, y que tiene que llamar al siguiente número, en el cual le solicitan los 16 dígitos de la tarjeta “para verificarla”. De este modo, el ciberdelincuente puede llevar a cabo compras y operaciones fraudulentas por vía telefónica o internet.
Factores de riesgo y consecuencias
El principal riesgo de este tipo de actividades fraudulentas es que el phisher disponga de información personal o bancaria, y pueda acceder a información privada de la misma. Las principales formas de acceso son a través de la siguiente información:
- Número de la seguridad social
- Número de tarjeta de débito /crédito/ cajero automático
- Contraseña
- Número de cuenta bancaria
- Información sobre el inicio de sesión / contraseña de banca por Internet.
Consecuencias
Los delincuentes informáticos son extremadamente audaces para engañar a la gente. Una vez que consiguen la información personal o bancaria del usuario pueden cometer diferentes fraudes:
- Suplantar la identidad de otra persona para contratar una línea de teléfono móvil, a la que llegarán los cargos de las llamadas.
- Utilizar el número de tarjeta de crédito para hacer compras por Internet.
- Apropiarse de bienes de manera indebida, por ej. modificar un sistema financiero para que el mismo desvíe pequeñas cantidades de dinero a una cuenta fantasma.
- Modificar programas mediante un virus, fallo en el disco duro, un apagón…para perder lo que almacenamos en nuestro ordenador: fotos, películas, música, documentos, etc.
Los fraudes informáticos van en aumento, por la gran cantidad de usuarios que existen dentro de este ámbito, esto es de suma importancia para los consumidores, ya que están en un constante peligro..
This project has been funded with support from the European Commission. This publication reflects the views only of the author, and the Commission cannot be held responsible for any use which may be made of the information contained therein.