¡Su navegador no admite JavaScript!

Consejos sobre seguridad de la información

2023 de enero - Plano de un ataque de phishing

Sería útil que el contenido de los actores de amenazas viniera con una bandera roja intermitente. Desafortunadamente, los intentos de phishing están mejor diseñados de lo que nos gustaría creer. Los actores de amenazas cibernéticas están bien versados en la manipulación y las técnicas bien elaboradas para engañar a los usuarios desprevenidos. Cuando un usuario cae en la trampa de un mensaje de phishing, el atacante logra su propósito. 

Los mensajes de phishing pueden aparecer en una variedad de formatos para recopilar información personal, robar credenciales de cuentas o instalar malware en el dispositivo de un usuario. Echemos un vistazo a algunos ejemplos que destacan cómo identificar los mensajes como intentos de phishing y, con suerte, frustrar este camino para los ciberdelincuentes.

Mensaje #1: Préstamos Vacacionales Falsos

Asunto: Préstamos de vacaciones de ensueño de bajo costo!!

Querido Juan,

Entendemos que el dinero puede ser escaso y que es posible que no pueda permitirse irse de vacaciones este año. Sin embargo, tenemos una solución. Mi compañía, World Bank and Trust, está dispuesta a ofrecer préstamos de bajo costo para que usted pueda pasar la temporada de vacaciones. Los tipos de interés son igual de bajos, del 3% durante 2 años. Si está interesado en obtener un préstamo, complete el formulario de contacto adjunto y envíenoslo. Nos ponemos en contacto con usted dentro de 2 días para organizar un depósito en su cuenta corriente [sic].

Envíe su formulario completo por correo electrónico a VacationLoans@worldbankandtrust.com.

Las vacaciones de sus sueños están a solo unos clics de distancia.

Stephen Extraño
El Banco Mundial y el Fideicomiso
1818 Street, NW Washington, DC 20433 Estados Unidos
www.worldbankandtrust.com

Mensaje #2: Tarjetas de regalo "Amozan"

Asunto: Tarjeta de regalo Amozan gratis!!

Querida Sally,

Su nombre ha sido seleccionado al azar para ganar una tarjeta de regalo de Amozan de $1000 . Para recoger su premio, debe enviarnos su información de contacto para que podamos enviar su premio por correo. Esta es una oferta por tiempo limitado, así que responda a la solicitud dentro de los 2 días hábiles. Si no responde, perderá su premio y seleccionaremos otro ganador. Envíe un correo electrónico con su nombre, dirección, # de teléfono y fecha de nacimiento a: 

CustomerService@amozan.com

Su certificado de regalo está a solo unos clics de distancia

Servicio al cliente
Amozan

Lo que nos enseñan estos intentos de phishing

En el primer mensaje, podemos ver que el phisher quiere darnos un préstamo de bajo costo sin verificación de crédito. Simplemente le enviamos nuestra información y él nos da el dinero. Esto parece demasiado bueno para ser verdad. Si pasa el cursor sobre el enlace, verá que esta no es la dirección de correo electrónico que se muestra. Es la dirección de correo electrónico del atacante...

En el segundo mensaje, vemos que "Amazon" está mal escrito como "Amozan".  Si lees el mensaje rápidamente, pensarás que dice "Amazon" y responderás para obtener tu certificado de regalo.  

Estas son algunas reglas que puedes usar para protegerte de ser víctima de un phishing:

Regla #1: Si una oferta o trato es demasiado bueno para ser verdad, probablemente lo sea.

Regla #2: Coloca el cursor sobre el enlace para confirmar su verdadero origen.

Regla #3: Busca faltas de ortografía. Si los nombres de las empresas están cerca de la ortografía correcta, es posible que inicialmente no note una ortografía incorrecta.

Regla # 4: Escriba la URL correcta en la barra de direcciones usted mismo para asegurarse de que va al sitio legítimo.

Regla #5: Busca faltas de ortografía en las URLs. Algunos estafadores utilizan ligeras faltas de ortografía o sustituciones de letras en las direcciones web para que no se note fácilmente (por ejemplo, 1egitimatebank.com en lugar de legitimatebank.com).

Regla # 6: Nunca responda a un correo electrónico con información personal confidencial (fecha de nacimiento, número de seguro social, etc.). Siempre hay métodos más seguros que las empresas legítimas utilizarán para obtener esta información.

Regla #7: Desconfía de cualquier mensaje que te inste a tomar medidas inmediatas.

La Comisión Federal de Comercio (FTC, por sus siglas en inglés) es la entidad de los Estados Unidos que recopila informes deestafas y puede ofrecer asistencia en caso de un ataque. Si cree que ha sido víctima de un ataque de phishing o ha hecho clic en un enlace que puede ser malicioso, puede denunciar un intento de phishing en línea en https://www.usa.gov/stop-scams-frauds o llamando al 1-877-382-4357.

Por último, puede informarse sobre los intentos de phishing en todas sus variedades. Esto incluye el spear phishing, que es una forma más específica de phishing. Puede obtener más información sobre este tipo de ataque descargando nuestro Manual de seguridad de MS-ISAC sobre el tema.

La información proporcionada en los boletines mensuales de consejos de seguridad está destinada a aumentar la conciencia de seguridad de los usuarios finales de una organización y ayudarlos a comportarse de una manera más segura dentro de su entorno de trabajo. Si bien algunos de los consejos pueden estar relacionados con el mantenimiento de una computadora en el hogar, el aumento de la conciencia está destinado a ayudar a mejorar la postura general de seguridad de la información de la organización.

Información sobre derechos de autor

Estos consejos son traídos a usted en el Commonwealth of Virginia por la Agencia de Tecnologías de la Información de Virginia en coordinación con:

Logotipo de MS-ISAC

http://www.us-cert.gov/

Anterior < |  > siguiente