El phishing es una práctica basada en mensajes de correo electrónico que intentan conducir al usuario a sitios web maliciosos que han sido diseñados para robar sus datos bancarios. Su finalidad es robar contraseñas y claves para utilizarlas de forma fraudulenta. Para conseguir estos datos utilizan el nombre y la imagen de compañías reales para así obtener la completa confianza del usuario para realizar el fraude.
Como cada año las alertas por phishing se disparan durante el verano, pues suele ser la época en la que hay más circulación de dinero en las cuentas y los usuarios no suelen estar tan atentos como el resto del año.
Para evitar caer en este tipo de trampas hay que estar siempre atentos a los correos electrónicos recibidos de entidades bancarias y de cualquier otra página en la que tengamos algún tipo de cuenta (correo electrónico, cuentas bancarias, paypal, etc…) y seguir unos consejos básicos:
- Ante todo es muy importante recalcar que las entidades bancarias nunca van a solicitar las claves de correo de un usuario bien por correo electrónico, teléfono o cualquier otra vía.
- Es recomendable eliminar los mensajes de correo electrónico en los que se soliciten datos ya que pueden contener un enlace que dirija a una página donde le sean solicitados los datos o bien el enlace genere la descarga de algún virus/troyano.
- Es muy importante que, en caso de seguir el enlace contenido en cualquier correo electrónico, se asegure de que la página web a la que está siendo dirigido sea realmente la de la entidad bancaria que desea. Para ello bastará con observar el dominio de la página para comprobar que no ha sido manipulado y no hay variaciones con el correspondiente al dominio real de la entidad.
Como ejemplo la siguiente imagen de mail del cual se están recibiendo actualmente:
Imagen 1: URL que redirige a un sitio Web fraudulento
- La forma más adecuada de asegurar que la conexión con el sitio web de la compañía sea el correcto es escribir directamente en el navegador la dirección de la página a la que deseamos acceder y no a través de hipervínculos.
- Las páginas correspondientes a bancos siempre utilizan conexiones seguras para transmitir sus datos. Para verificar que así sea la URL del sitio debe empezar siempre con htpps y no con http.
- Los textos de los correos de phishing se generan normalmente desde otros países por lo que las traducciones suelen ser bastante pobres, con errores ortográficos o de expresión.
Imagen 2: Errores de expresión
También se recomienda utilizar aplicaciones como McAfee SiteAdvisor, plugin gratuito para navegadores que permite saber si las páginas visitadas son páginas que se consideran seguras o bien potencialmente peligrosas.
En cualquier caso, y ante cualquier duda, es recomendable ponerse en contacto con el banco o empresa que gestione el dominio para confirmar que todo sea correcto.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 22 de Julio de 2011