05 Oct ¿Cómo reconocer cuando un mensaje es un ataque de «Phishing»?
Tal y como hemos visto en el artículo publicado en ABC Tecnología por Lorenzo Martínez, los usuarios seguimos siendo el eslabón más débil de la seguridad informática. Es por ello que resulta primordial aprender a reconocer mensajes que puedan contener un ataque de tipo phishing, es algo primordial. Tanto a nivel personal, si te llega un mail a tu correo, como corporativo si trabajas para una compañía, ya que puedes desencadenar una serie de problemas que pongan en peligro la información de la empresa. Las consecuencias de no identificar este tipo de mensajes pueden ser muy graves.
Los ciberdelincuentes a menudo utilizan mensajes de correo electrónico, sms, teléfono o mensajería instantánea para engañar a los usuarios y conseguir la información confidencial de los mismos, como credenciales de acceso a servicios (usuarios/contraseñas), números de cuenta o robo de tarjetas. Es por ello que en Securíza-T queremos darte algunos consejos para aprender a reconocer con más facilidad este tipo de mensajes:
Comprueba la dirección de correo
Debes comprobar muy bien la dirección del remitente y comprobar que es el correo habitual que tienes vinculado a esos servicios. Es decir, sería muy raro que si para las comprobaciones de tu cuenta de Netflix, por poner un ejemplo, siempre te llegan emails de cuenta@netflix.com ahora te esté entrando uno que diga soportenetflix@gmail.com. Desconfía de los remitentes inusuales y desconocidos. Asimismo, los atacantes querrán confundirte con nombres de dominio muy similares a los reales. Para ello, incluso registrarán dominios alternativos en los que modifican una letra del mismo, que muchas veces el mensaje leído desde un teléfono móvil, da el pego.
No descargues archivos si no sabes exactamente de quién provienen
En muchas ocasiones, los mails de phishing tienen archivos adjuntos, para que al momento de que el usuario lo descargue, tenga un complejo y elaborado malware en su ordenador. Muchos de ellos no se presentarán como archivos con extensiones que se puedan abrir de forma directa, sino que serán en .zip o .rar, a veces protegidos con una contraseña (que el atacante gentimente te proveerá en el cuerpo del correo). Así, al no poder hacer una vista previa en el mail, lo tengas que descargar y ejecutar en el ordenador.
Cuidado con dónde haces click
No siempre se necesita descargar el archivo adjunto para meterte en problemas. Al abrir un enlace malicioso, puedes descargar programas con malware sin que te des cuenta, y peor, sin que tu antimalware se de cuenta. Si quieres comprobar el enlace, te recomendamos que coloques el cursor encima y lo veas, pero no le des click hasta estar seguro de que se trata de una fuente fiable.
Si tienes cuenta en el sitio del que te llega un «presunto enlace inocente», directamente introduce en tu navegador la ruta del sitio al que te sueles conectar, en vez de hacer click en el enlace, que en algún punto te harán el lío.
Revisa la ortografía del correo electrónico
La mayoría de correos de este tipo suelen tener errores de gramática y ortografía, que claramente no tendrían si fueran realmente quienes dicen ser. Las empresas suelen ser muy cuidadosas al momento de redactar un mail de información para sus usuarios. A veces también pueden llegar correos electrónicos con caracteres raros. Esto sucede porque el atacante no ha controlado el juego de caracteres desde el script automatizado desde el que ha hecho el envío masivo, y llama la atención.
Ten cuidado con las promociones y los vales de descuento
Esta es una de las técnicas más utilizadas por los ciberdelincuentes para hacer que sus phishings resulten exitosos: hacer creer a la gente que ha ganado algo. Si te llega un descuento especial de tu tienda de ropa favorita, o un cupón de 2×1 en tu próxima reserva de hotel a cambio de registrarte en el enlace que te proporcionan, es posible que sea un phishing.
Usa el sentido común
Por más tonto que parezca, este es uno de los mejores consejos para poder identificar un mensaje de phishing. Si te llega un mail diciendo que has ganado un premio, por el que nunca participaste, es phishing. Si tienes un mensaje de un banco, pidiéndote que actualices tus datos usando el enlace que te proporcionan, pero no tienes cuenta en ese banco, es phishing.
El hecho de que un correo electrónico tenga logotipos de una empresa y parezca estar bien, no es una garantía de que sea fiable. Esperamos que estos consejos os resulten de utilidad para preservar vuestra seguridad al momento de utilizar vuestro correo electrónico.
Autor: Vanessa Dapena Lorenzo – Responsable de Marketing de Securízame 