Como identificar y protegerse de los ataques tipo phishing

Últimamente he visto una proliferación de emails falsos que pretenden venir de instituciones bancarias, PayPal, redes sociales y otros sitios conocidos. Los emails generalmente incluyen un mensaje urgiendo a los usuarios a que cambien sus credenciales porque sus cuentas han sido comprometidas.

Cada mensaje viene con un enlace para supuestamente arreglar el problema, pero en realidad te lleva a una página web muy parecida al sitio oficial del banco o la red social cuyo único objetivo es capturar tus credenciales para poder después limpiarte la cuenta de banco, o comenzar a realizar fechorías bajo tu nombre.

Al principio era fácil detectar que los emails eran falsos, ya que los enlaces no concordaban con el URL del banco o el sitio oficial desde donde supuestamente el mensaje provenía, sin embargo los estafadores se han vuelto mucho más sofisticados y ahora están usando varias técnicas que hacen casi imposible detectar el timo.

Enlaces en subdominio

Uno de los trucos más difíciles de detectar es esconder el verdadero nombre de dominio bajo un subdominio que contiene el URL del sitio verdadero. Por ejemplo, digamos que tienen una cuenta de PayPal y reciben un email diciendo que acaban de recibir un pago por $800 dólares. Lo más lógico es que sientan curiosidad por saber quien les envió ese dinero. El email viene acompañado con un supuesto enlace hacia su cuenta de PayPal. Cuando ponen el ratón encima del enlace (sin hacer un click) el programa de email desplegará la dirección de URL que puede ser algo así como http://paypal.informacióndecuenta.com Cualquiera pudiera pensar que porque en el URL aparece “paypal” el sitio realmente es de PayPal, sin embargo en realidad el dominio es informaciondecuenta.com y en ese dominio han creado un subdominio llamado paypal.

Dominios parecidos

Otro truco usado por los estafadores es crear nombres de dominio muy parecido al sitio original. En la imagen que aquí les muestro, lo podrán ver claramente esto. En este caso el nombre de dominio es id4337-chase.com, que no tiene nada que ver con www.chase.com, el verdadero sitio de Internet del banco Chase Manhattan. Haciendo una búsqueda del id4337-chase.com vemos que el nombre de dominio pertenece a una persona y no a una entidad financiera.

 

Como protegerse

La mejor forma de protegerse de estos ataques conocidos como “phishing” (una derivación de la palabra “fishing” o pescar) es antes de hacer un click en cualquier enlace es poner el cursor del ratón encima del enlace y ver la dirección URL que se esconde detrás del mismo. Casi todo los programas de email despliegan la dirección de los enlaces, ya sea en una pequeña etiqueta encima del enlace como en el caso de Outlook o en una esquina de la página como en el caso de los servicios de email como Hotmail.

Noten si el enlace va directo a la dirección de la compañía (por ejemplo www.chase.com) o si aparte del URL de la compañía, viene además otras letras o palabras adicionales. Es una clara indicación de que el email es falso.

Si reciven uno de estos emails y no están seguros si es verdadero o no, NO HAGAN UN CLICK AL ENLACE. Simplemente abran una nueva ventana en el navegador y escriban directamente la dirección del URL de la institución en el navegador (por ejemplo escriban ustedes www.paypal.com en vez de hacer un click en el enlace del email). Les aseguro que si realmente hay un problema con su cuenta, el sitio les avisará inmediatamente apenas ingresen a el con sus credenciales.

Para que tengan una idea de las graves consecuencias de caer en una de estas trampas, conozco el caso de una amiga que recibió uno de estos emails falsos que pretendía ser de eBay. Yo personalmente vi el email y con excepción del enlace, lucía exactamente igual a un email oficial de eBay. Mi amiga básicamente entregó sus credenciales de eBay a un estafador y en cuestión de días esta persona comenzó a estafar a otros usuarios de eBay usando la información de mi amiga. Esta persona ponía cosas a la venta en eBay, se quedaba con el dinero y nunca enviaba nada. A mi amiga le tomó semanas darse cuenta del problema y ya para entonces esta estafador había recaudado casi $3,000 dólares. La cuenta de mi amiga recibió decenas de comentarios negativos y eBay le amenazó con entablar una demanda judicial en su contra, además de acusarla a la policía por estafa. Yo le ayudé a desenrredar la madeja de la estafa y finalmente pudo aclarar todo, pero nos tomó varias semanas y decenas de emails con eBay para aclarar todo.

Tags: ataques, ataques phishing, como identificar un email falso, emails falso, phishing, seguridad