domingo, 20 de novembro de 2016
É un dos métodos utilizados para estafar e obter información confidencial de forma fraudulenta como pode ser un contrasinal ou información detallada sobre tarxetas de crédito ou información bancaria da vítima, coa finalidade de causarlle pérdidas económicas.
O obxectivo é suplantar a entidades oficiais como bancos, administracións, tendas online, para que a persoa usuaria acceda a elas tal e como o faría habitualmente e deste xeito recoller o seu usuario e contrasinal de acceso ou o mesmo os datos de tarxetas de crédito ou contas bancarias. A aparencia destes sitios web suplantadores acostuma ser idéntica á das oficiais e moitas veces a ligazón ao sitio web fraudulento vén agochada dentro dun correo electrónico onde simulan ser a entidade oficial suplantada.
O obxectivo é suplantar a entidades oficiais como bancos, administracións, tendas online, para que a persoa usuaria acceda a elas tal e como o faría habitualmente e deste xeito recoller o seu usuario e contrasinal de acceso ou o mesmo os datos de tarxetas de crédito ou contas bancarias. A aparencia destes sitios web suplantadores acostuma ser idéntica á das oficiais e moitas veces a ligazón ao sitio web fraudulento vén agochada dentro dun correo electrónico onde simulan ser a entidade oficial suplantada.
O estafador (phisher) utiliza técnicas de inxeniería social que consistán en obter información esencial a través da manipulación das persoas usuarias lexítimas dunha aplicación, de internet ou dun servizo.
O cibercriminal intentará pasar por unha empresa ou persoa de confianza nunha aparente comunicación oficial electrónica como un correo electrónico,chamadas telefónicas, redes sociais, algún sistema de mensaxería instantánea, SMS/MMS.
Os correos electrónicos fraudulentos normalmente incluirán unha ligazón que redirixirá a páxinas web falsificadas. A persoa estafada tecleará a información solicitada creendo que está nun sitio de confianza, cando na realidade estará na páxina do estafador.
O ataque de phishing a través de SMS, coñécese como smishing. O usuario recibe unha mensaxe de texto intentando conseguir que dita persoa visite a ligazón fraudulenta.
O de telefonía coñécese como vishing (uso do teléfono con fins delictivos). A persoa estafada recibe unha chamada telefónica que simula proceder dunha entidade bancaria pedíndolle que verifique unha
serie de datos persoais. chega o vishing
Os Hoax son correos ou mensaxes en redes sociais ou apps móbiles como Whatsapp que buscan fundamentalmente propagarse e baseanse en bulos ou enganos. O obxectivo principal é obter listas de correo ou contactos que se van acumulando nos reenvíos do correo para despois facer uso doutras das técnicas vistas para enviar correos de xeito personalizado. Os Hoax son un claro exemplo de enxeñería social e sempre buscan enganar ao usuario/a facendo referencia a un tema emotivo ou alarmante, coma por exemplo:
• Unha alerta de virus.
• Axuda para un neno con cáncer.
• Evitar unha lapidación ou execución.
• Axudar nunha traxedia, coma un terremoto, tsunami ou similar.
• Produto insán para a saúde, co obxectivo de dar mala prensa a unha marca.
Sempre piden que se reenvíe a mensaxe para axudar ou recoller fondos, por exemplo dicindo que con cada reenvío ou “me gusta” a rede social Facebook doará 1€ á causa. Por desgraza, isto non funciona así e o único que estaremos facendo e caer no timo ou estafa en cuestión.
Artigos
7 claves phising - SANS cómo protexerse - APWG 6 ataques comúns
ataque dirixido para roubar criminales prefiren phising
cómo comprobar se unha ligazón é realmente segura estafas con criptomoedas
cómo se esconde en URLs falsas cómo recoñecer e evitar estafas
navegación segura - software malicioso e phising - Informes de transparencia de Google
non é certificado todo o que reluce novos casos - OCU perigos do phising
psicoloxía experimental ¿qué son as ligazóns maliciosas e cómo protexerse desa ameaza?
saber se unha URL é un sitio de phising spear phising adaptando anzois a obxectivos
¿recoñeces correctamente un correo electrónico? qué é o phising - Google
cómo evitar - vídeo
medidas preventivas decálogo antiphising versión gráfica - OSI
phising en cifras - DSN
Exemplos
aprendendo a utilizar os 10 máis utilizados anatomía do phising
5 tipos nos que non debes caer Axencia Tributaria coronavirus exemplos
detectados correos que suplantan a ABANCA PayPal
detectan complexa campaña de Gmail difícil de detectar Telefónica webs falsas
inxeniería social - Google un exemplo paso a paso exemplo "suposto premio"
phising unicode - utilizar letras do código ASCII que a simple vista teñan o mesmo aspecto, pero que realmente teñen distinta representación Unicode. (Tamén se coñece como phishing homográfico)
recoñecer correos falsos top 10 de asuntos de email
simulación e formación - sophos
Consellos
Comprobar que a páxina web é unha dirección segura. Sempre comezará con https:// e aparecerá na barra de estado do noso navedador un candado pechado.
Non pulsar en ligazóns proporcionadas no correo electrónico.
Non contestar automáticamente a ningún correo electrónico que solicite información financieira ou persoal. Os bancos ou empresas financieiras NUNCA solicitarán os nosos datos confidenciais ou de tarxetas a través de correos.
Se recibes un correo electrónico sospechoso non respondas e bórrao.
Cando creas que fuche vítima de phishing cambia os teus contrasinais e ponte en contacto o máis rápido posible coa entidade financieira para informarlles do problema.
cómo evitar ataques
cómo protexerse - Firefox Windows Defender Browser Protection - Chrome
consellos protexerse da suplantación de identidade
