Embed Size (px)
Citation preview
www.tusconsultoreslegales.com
El phishing se trata de un tipo de ataque informático basado en la estafa a los usuarios de losmedios digitales, consistente en la adquisición de información a través de medios fraudulentoshaciéndose pasar el estafador por una entidad o persona de confianza.
El phishing no es un ataque informático cualquiera, pese a que todos los “ciberataques” sonimportantes y hay que tenerlos en cuenta, el phishing está representando en los últimos años unode los ataques más comunes y con mayor repercusión en todos los ámbitos (especialmente enel económico) debido al incremento del uso de dispositivos tecnológicos muy variados, y al masivoacceso a las redes sociales.
En este tipo de estafa, el estafador o phisher busca apoderarse de información confidencialde personas y empresas para obtener algún tipo de beneficio posterior.
Las páginas web o los correos falsos con apariencia de verdaderosson el “anzuelo” que lanzan los phishers a sus posibles víctimas.
¡ VIGILA CON EL ANZUELO !
www.tusconsultoreslegales.com
¿Desde tu puesto de trabajo puedes acceder a cualquier página web? ¿También a las páginas deentidades financieras? ¿Verificas la seguridad de la página?
¿Abres correos de dudosa procedencia? ¿Das información personal cuando te la piden por e-mail?
¿Puede alguien ajeno a la empresa mandar comunicaciones electrónicas a los empleados, desde elcorreo corporativo?
¿La página web de la empresa puede manipularse y usarse como “anzuelo” para quelos usuarios y clientes crean que están accediendo de verdad?
¿Los clientes pueden llegar a dar datos confidenciales a un tercero sin saberlo?
ÉSTATE ATENTO, PUEDES DE SER VÍCTIMA DE PHISHING
RELFEXIÓN
www.tusconsultoreslegales.com
Porque los empleados desconocen qué es el phishing Y sus repercusiones.
Porque la empresa considera que la seguridad de sus sistemas es la adecuada, desconociendotambién si pueden ser víctima de phishing.
Porque la empresa no ha implementado las políticas de control ni las medidas de prevenciónadecuadas.
Porque la mutación constante del phishing y la continua mejora de su efectividad hacenmuy complicado mantenerlo controlado.
RELFEXIÓN
LAS MEDIDAS PUNTUALES ANTI-PHISHING NO SON TANEFECTIVAS COMO LOS SERVICIOS INTEGRALES ANTI-PHISHING
www.tusconsultoreslegales.com
Puedes identificar el ataque de phishing cuando te intentan engañar de la siguiente manera(modo más extendido):
Recibes un correo electrónico que simula ser de una compañía con la que tienes algún tipo devínculo (la empresa donde trabajas, la entidad de la que eres cliente, etc.).
En el correo electrónico el remitente simula ser la compañía en cuestión.
En el mensaje figura el diseño y logotipo de la empresa que firma el mensaje.
En el mensaje te piden que verifiques información personal o confidencial (que el supuesto remitenteya posee, o debería poseer) alegando algun fallo en el sistema o la verificación de los datos.
El mensaje incluye un enlace a una página web aparentemente igual a la de la compañía con la quemantienes el vínculo.
www.tusconsultoreslegales.com
En realidad la página web a la que accedes a través del enlace del e-mailse trata de una página fraudulenta que reproduce fielmente la páginaverdadera, y que se encuentra en un servicio de alojamiento bajo unnombre muy similar al de la página auténtica.
Las páginas con identidad fraudulenta suelen incluir pasarelas de pagoque confunden a los usuarios y les llevan a las redes de los estafadores.
Los estafadores se aprovechan del desconocimiento de los usuarios en materia de controlesde seguridad y de la confianza depositada en internet para realizar el ataque de phishing.
El phishing se ejecuta rápidamente y sus consecuencias son igual de inmediatas.Un ejemplo es un caso real de phishing donde se capturó 35 tarjetas de crédito en 5 horas.
Además del envío de correos electrónicos con falsos enlaces a páginas web, que es el método máshabitual y difundido de phishing, éste puede presentarse de otras formas que planteamos en elsiguiente punto. ¡Sigue leyendo!
TOMA NOTA
www.tusconsultoreslegales.com
Pese a que el fenómeno del phishing está teniendo un eco importante en la sociedad en general y enespecial en el mundo de la seguridad dado su ascendiente incremento y repercusión, este tipo deataque ya cuenta con años de existencia, lo que ocurre es que el modo u entorno de ataque cambiacon facilidad y se adapta a las tendencias de cada momento.
Veamos dónde podemos dar con el phishing:
Contenido malicioso en la página web (banners falsos, pantallas de Pop-Up, elementos ocultosen la web, troyanos...).
Canales tipo IRC o IM (Instant Messaging como el Messenger de Microsoft) donde por ejemplo sepueden falsear los programas que participan en los chats, o enviando elementos maliciosos a losparticipantes.
PCs infectados por troyanos que se insertan desde la descarga de algún archivo.En ocasiones los ataques se han realizado mediante las denominadas Redes Zombis, que sonordenadores qua han sido “raptados” por ataques de troyanos. Estos PCs, sin que sus propietarios losepan, emiten ataques phishing coordinados con otros PCs pertenecientes a la misma red zombi.
www.tusconsultoreslegales.com
Ataques dirigidos (mediante e-mail). Aunque los usuarios se han acostumbrado a evitar pincharenlaces sospechosos incluidos en correos basura o spam, aún abren archivos incluidos en aquellosque son enviados desde una dirección aparentemente legítima.
URL modificadas (nombre de la página web). Con el aumento de servicios de acortador de URL hanproliferado también los casos de phishing, ya que los usuarios se confían de la denominación de lapágina.
Dispositivos móviles. Tendencia en alza que sigue creciendo a medida que aumentan sus usuarios.Las vulnerabilidades conocidas en los sistemas operativos móviles crecieron desde las 115 en 2009 alas 163 en 2010. Según información del Cuerpo Nacional de Policía, los usuarios de teléfonos móvilesson tres veces más propensos a ser víctimas de ataques de phishing, el principal motivo es ladificultad para comprobar que la página que visitada es la auténtica y el entorno en el que seefectúan las consultas.
Ataques mediante redes sociales. Actualmente es el principal objetivo para ataques de malware.
Ante este panorama hay que estar alerta a las posibles nuevas formas de phishing. De todas formas, lamayoría de los ataques seguirán entrando a través de los canales habituales (correo electrónico, URLsmodificadas, foros o grupos de discusión), dado que es más fácil para el phisher o estafador.
www.tusconsultoreslegales.com
Con tal de prevenir el ataque de phishing, te damos las siguientes pautas de prevención:
Mantenerse informado acerca de las políticas de control aplicables al phishing.
No responder a correos electrónicos que piden información personal o financiera.
No enviar información personal mediante mensajes de correo electrónico si no se utilizan técnicas decifrado o firma digital.
No aceptar invitaciones a páginas web incluidas en un enlace recibido por e-mail.
No acceder a páginas web de entidades financieras, de comercio electrónico o de contenido críticodesde lugares públicos.
Verificar los indicadores de seguridad de la página web a la que se accede y en la que se ingresaráinformación personal. (La dirección web debería comenzar por https:// , que significa que contieneun certificado de seguridad).
www.tusconsultoreslegales.com
Verificar que en el navegador aparece un candado cerrado. (Haciendo clic sobre el candado se puede
comprobrar la validez del certificado digital y obtener información sobre el sitio web al que se accede).
Mantener actualizado el software del ordenador o dispositivo móvil.
Disponer de programas anti-phishing y filtros de spam.
No descargar ni abrir archivos de fuentes desconocidas o no confiables.
NUNCA respondas a NINGUNA solicitud de información personal a través de correoelectrónico, llamada telefónica o SMS.
Las entidades u organismos NUNCA solicitan contraseñas, números de tarjeta de crédito ocualquier información personal por correo electrónico, por teléfono o SMS porque ellos yadisponen de esa información.
IMPORTANTE
www.tusconsultoreslegales.com
Si pese a adoptar las medidas de prevención, o por no haberlas adoptado, acabas siendo víctima delphishing, sólo te queda denunciarlo e intentar paliar los daños causados aumentando la seguridad delsistema.
DENUNCIA A LA POLÍCIA:
Cuando seas víctima de este tipo de intento de estafa debes informar a las autoridades competentes, elCuerpo Nacional de Policía dispone en su página web: www.policia.es de un formulario telemáticopara denunciar los casos de phishing.
OTRAS ENTIDADES DE REFERENCIA:
También existen entidades independientes, como el internacional Anti-Phishing Working Group(APWG) o bien a nivel nacional la Asociación de Internautas, que luchan para erradicar este tipo deciberataques. Ellos denuncian el hecho a la empresa u organismo afectado y avisan a las fuerzas delEstado, haciendo el seguimiento del caso.
www.tusconsultoreslegales.com
PARA TENER EN CUENTA….
Ante el daño que puede causarte el phishing, es interesante saber que las entidades financieraspueden ser responsables del hecho si no han previsto debidamente las medidas de seguridadoportunas para que sus clientes puedan operar por medios electrónicos con total confianza:
“Un juez exige a una caja que indemnice a un cliente que sufrió una estafainformática” (fuente: vlex.es)
La sentencia resuelve que la entidad tiene una responsabilidad, independientemente deque a sus usuarios los engañen con virus o páginas falsas, y castiga la pasividad de lamisma al no alertar a sus clientes teniendo conocimiento de otros casos.
www.tusconsultoreslegales.com
¡No te dejes pescar!
El phishing está de actualidad, no dejes que el anzuelo tetiente y seas víctima del ciberataque.
Las medidas de prevención son la solución, puesto quereparar el daño económico o el ataque a la privacidad yreputación tuya o de tu empresa es mucho más costoso.
www.tusconsultoreslegales.com
Gracias por su interés
Para contactar al experto:
Para comprar el documento:www.tusconsultoreslegales.com/documentos
www.tusconsultoreslegales.com
