Evitando los ataques de ingeniería social y de phishing ¿Qué es un ataque de ingeniería social? En un ataque de ingeniería, un atacante usa la interacción con el hombre (habilidad social) para obtener información comprometedora acerca de una organización o de un sistema de cómputo. Un atacante puede parecer inofensivo y respetable, posiblemente parecer un nuevo empleado, un técnico para reparar algo, un investigador o cualquier persona que simule alguna identidad de soporte. Sin embargo, él o ella puede obtener bastante información haciendo preguntas relacionadas con la red de la organización. Si el atacante no puede obtener la información suficiente de una fuente, él o ella puede contactar otra fuente de la misma organización. ¿ Qué es un ataque phishing?Phishing es una forma de ingeniería social. Un ataque phishing consistente en el envío de correos electrónicos de forma masiva desde una dirección que aparentemente parece ser de una persona o institución conocidas para el destinatario y que tienen como objetivo obtener información confidencial del destinatario de forma fraudulenta. Es un término derivado del inglés 'fishing' (pesca) que hace alusión al intento de la persona que lo lleva a cabo, conocida como phisher, de 'pescar' información confidencial del destinatario, mediante la difusión masiva de mensajes. En estos mensajes, la dirección del remitente estará falsificada siendo muy parecida o incluso puede coincidir con alguna cuenta real de la institución en cuestión. El objetivo es, que alguno de los múltiples receptores de ese correo proporcione los datos que le son requeridos, contestando el correo o pulsando sobre el enlace propuesto para realizar el cambio o confirmación de sus claves. Puede contener un enlace que al ser pulsado lleva a una página falsa y que estará controlada por los estafadores quienes habrán replicado con todo detalle la página real de la institución que supuestamente envía el correo y de esta manera el usuario creyendo estar en un sitio de toda la confianza introduce la información solicitada que el estafador obtiene fácilmente. Aunque puede darse en cualquier ámbito es muy frecuente en el bancario, en el que se suelen solicitar desde una supuesta entidad bancaria datos como el número de cuenta, número de tarjeta de crédito, nombre de usuario de servicios de banca electrónica, contraseñas, coordenadas de tarjetas, etc. utilizando todo tipo de argumentos relacionados con la seguridad para justificar la necesidad de introducir sus datos de acceso. Un ejemplo de los más comunes pueden ser los siguientes: · Problemas de carácter técnico. · Recientes detecciones de fraude y urge un incremento del nivel de seguridad. · Nuevas recomendaciones de seguridad para prevención del fraude. · Cambios en la política de seguridad de la entidad. · Aunque también pueden utilizar mensajes relacionados con: · Promoción de nuevos productos de la entidad. · Premios o regalos por ser buen cliente o por sorteos. Además, intentarán forzar al destinatario a tomar una decisión de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado. Los principales daños provocados por el phishing son: · Robo de identidad y datos confidenciales de los usuarios, con los perjuicios que eso puede llegar a provocar. · Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).
· Ninguna institución o prestador de servicios, bajo ninguna circunstancia le solicitará que envíe vía mail su usuario y contraseña o cualquier otro dato confidencial. · No conteste automáticamente a ningún correo que solicite información personal o financiera salvo que tenga las máximas garantías de que provienen de la fuente correcta. Si tiene dudas sobre si realmente el remitente entidad necesita el tipo de información que le solicita, póngase en contacto con la entidad remitente y verifíquelo.No utilice el contacto del sitio web que viene asociado con el correo electrónico. · Si en el mensaje se le invita a acceder a un enlace determinado, escriba usted mismo la dirección en su navegador de Internet en lugar de hacer clic en la liga proporcionada en el correo electrónico, tenga en cuenta que direcciones que aparentan ser correctas en los correos electrónicos pueden ocultar la ruta hacia un sitio web fraudulento. · Verifique que la dirección comience por HTTPS (observe el carácter 's' al final), en lugar de http, lo cual le indicará que se está conectando a un servidor seguro. Esto junto con la presencia de un candado en la parte inferior derecha de su navegador (si es Mozilla Firefox o Internet Explorer) o junto a la dirección (si es Google Chrome), y que al pulsar le indicará que el sitio al que se está conectando tiene un certificado digital, que debe coincidir con el nombre de la institución a la que se está conectando · Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la institución o persona por la que se están intentando hacer pasar. · Cuando esté seguro que un mensaje es fraudulento, márquelo como Spam y elimínelo. · Preste atención a la dirección desde la que se hace el envío, podrá observar que aunque en la descripción de la cuenta aparezca algún dato que le pueda resultar familiar, la dirección puede no corresponder con dicha descripción. Por ejemplo, en el siguiente caso: De: account.admin @ upaep . mx <trynemor @
stofanet . dk> Aparentemente el mensaje proviene de account.admin @ upaep . mx, pero la dirección real desde la que se hace el envío es trynemor @ stofanet . dk. · Consulte las recomendaciones de seguridad que tiene a su disposición en http://gapps.upaep.mx/inicio/seguridad · Si cree haber recibido un mensaje de tipo phishing, por favor, no lo conteste y si no sabe cómo actuar póngase en contacto con el Centro de Atención a Usuarios. En este enlace se ofrecen algunas sugerencias que pueden ayudarte a discernir si un sitio web es falso o no
|
 | |
|
|
