Este verano protégete de las ciberestafas: qué es el phishing y cómo evitarlo
Autor: Equipo Arriaga
El phishing es un tipo común de ciberataque que se dirige a las personas a través de emails, links, redes sociales, web y otras formas de comunicación. El objetivo: engañar al destinatario para que realice la acción deseada por el atacante, como revelar datos bancarios para acceder al sistema o a otra información sensible. Por su gravedad, es importante conocer y saber cómo evitar el phishing.
Lo peor de los sitios web fraudulentos es que no parecen fraudulentos y, además, el problema se suele acrecentar durante el verano. Mientras muchas personas se toman unos días de descanso, los ciberdelincuentes hacen todo lo contrario. Saben que es una oportunidad para lanzar nuevos fraudes con temáticas propias de las vacaciones.
Para evitar el phishing debemos conocer las prácticas más habituales y no bajar la guardia, hay muchísimos sistemas y la mayoría se denominan bajo términos anglosajones que suelen hacer referencia al origen del engaño o de la técnica que se emplea, aunque lo normal hoy en día, es que los ciberdelincuentes o hackers utilicen una combinación de estas técnicas. Vamos a hacer referencia a los más habituales y a los que pueden suponer un perjuicio más inmediato.
Contenido del Artículo
Smishing
Es la modalidad de ataque más extendida. El ciberdelincuente envía un mensaje de texto, en ocasiones al propio hilo de mensajes de la entidad bancaria o del proveedor de servicios, en el que alertan de una situación de riesgo o de un cargo no autorizado, para generar la sensación de urgencia en el usuario. Suelen indicar que, si queremos anular una transferencia no autorizada, por ejemplo, debemos hacer clic en el enlace que facilitan. También es habitual que nos digan que un paquete que estábamos esperando, ha sido retenido en aduanas a falta del pago de una cantidad de dinero.
Una vez hacemos clic en el enlace, derivan a una página web con la misma apariencia de un lugar seguro y familiar (nuestro banco, un proveedor de suministros, empresa de transporte…etc.) pero que en realidad, está creada por los ciberdelincuentes y controlada por ellos. Allí, al introducir los datos de la tarjeta de crédito o credenciales bancarios, utilizarán nuestros datos y comenzará el uso indiscriminado y fraudulento de las tarjetas o medios de pago.
Vishing
En esta modalidad, los ciberdelincuentes se hacen pasar normalmente por algún empleado de la entidad bancaria del cliente (tras haber obtenido algunos datos en alguna brecha de seguridad como últimos dígitos de la tarjeta bancaria o números de cuenta). Le llaman indicándole que son del departamento “antifraude” de su entidad y que hay una serie de movimientos sospechosos que deben verificar y/o anular.
Los medios técnicos que utilizan llegan a tal nivel que, en el teléfono móvil, aparece el número de teléfono de la entidad bancaria como si esa fuese una llamada entrante real, pero no lo es, es una pantalla que han superpuesto. En realidad, están llamando desde otro número de teléfono.
Una vez que se han ganado la confianza del interlocutor actuando de una manera “profesional” y haberle facilitado su DNI o el número de cuenta o los dígitos de la tarjeta, le irán pidiendo una serie de códigos para ir validando operaciones en las que supuestamente están corrigiendo movimientos fraudulentos. En realidad, el atacante está realizando transferencias al extranjero, enviando dinero o realizando compras de cryptoactivos, lo que hará prácticamente imposible perseguir esa transacción.
Whaling (o estafa del CEO)
En este caso, los atacantes, tras haber logrado acceder a los sistemas informáticos de la empresa a la que quieren defraudar, generan una dirección de correo electrónico extremadamente similar a la del director financiero o el director general. Mediante email solicitan a la persona encargada de la contabilidad o de los pagos, que realice una serie de transferencias urgentes de alto importe por motivos urgentes de negocio.
Como vemos, generar urgencia para que no nos paremos a pensar y sentirse ante un peligro inminente, hace que los instintos más primitivos del cerebro de la víctima controlen e intente remediar una situación inmediata obviando otros peligros que están alrededor, y que son los reales. Cuando la persona encargada de los pagos se da cuenta del engaño, suele ser tarde y ese dinero ha desaparecido sin dejar rastro.
Whishing (de WhatsApp)
Esta práctica ha cogido fuerza los últimos meses. Los atacantes logran acceder al teléfono mediante cualquier técnica de pirateo informático por alguna página web o enlace. Una vez estudiado el WhatsApp de la víctima, van a ocultar primero los chats reales con la persona por la que se harán pasar y después le escriben por teléfono haciéndose pasar por un ser querido en apuros (normalmente un hijo, un padre o madre).
¿Cuá es el objetivo? Solicitar una serie de Bizum o transferencias por un accidente o un imprevisto que acaba de ocurrir. Es habitual que “nuestro familiar” explique que su móvil se ha caído a la piscina, que tiene una entrevista de trabajo importante o que le han robado el bolso. Conocer bien está práctica muy extendida y comprobar los mensajes que recibimos, nos ayudará a evitar el phishing.
Pharming
Consiste en hacer que la víctima haga clic en algún enlace de una web o en un anuncio que aparezca en los laterales de la pantalla de nuestro móvil u ordenador, los denominados “banners”. Una vez hagamos clic en el anuncio, te redirige a una supuesta web del comercio donde queríamos entrar, aunque realmente está suplantada por los ciberdelincuentes, es una creación muy similar a la original. Todos los datos que intercambiemos, como números de tarjeta, direcciones, NIF, teléfono… quedarán en su poder y servirán para que preparen otro ataque más elaborado con alguna de las técnicas anteriores o directamente se hagan con los datos de nuestra tarjeta.
Sim Swapping (intercambio de tarjetas SIM)
Este método, no es un intercambio físico de la tarjeta SIM del teléfono, es un intercambio virtual. Los ciberdelincuentes consiguen los datos a través de alguna de las técnicas anteriores (por ejemplo, Pharming) y con una copia del DNI o una falsificación, acuden a una oficina de nuestra empresa de telecomunicaciones. Allí, indicarán que han sufrido un robo y les darán un duplicado tras haber pasado todas las preguntas de seguridad (recordemos que estos datos se los hemos facilitado sin querer al introducir direcciones, teléfonos, DNI etc. en sus páginas web). Una vez tengan una nueva tarjeta SIM, podrán operar con nuestro banco, ya que la darán de alta y no sabremos que se están haciendo ya que las notificaciones y las dobles verificaciones con los códigos llegarán directamente a la nueva tarjeta SIM.
Conocer bien el phishing y cómo evitarlo, nos ayudará a no caer en un engaño diseñado por profesionales para aprovechar nuestros descuidos. Desde Arriaga Asociados, además de ayudarte a evitar el Phishing, te recordamos que todos los consumidores tenemos caminos legales para reclamar y recuperar lo perdido ante un fraude tan común. Si has sido víctima de una estafa por Phishing, pide cita e infórmate sobre tu caso concreto en el teléfono 900 264 007. Los Tribunales dictán sentencias a favor de nuestros clientes.