29/03/2024 - Edición Nº2927

Tecno

A estar atentos

Consejos importantes para no ser estafados por phishing

07/08/2020 | A continuación, el doctor Sergio Carriquiriborde preparó un completo informe para estar prevenidos en esta compleja temática.


por Sergio Diego Carriquiriborde


Phishing es la suplantación de identidad realizada a través del robo de credenciales de acceso a sitios restringidos (mails, homebankig, etc). Es una conducta delictiva que encuadra dentro del tipo penal estafas y otras defraudaciones (art. 172 y 173 del Código Penal). Se da a través del engaño y el desplazamiento patrimonial. En informática se realiza a través de engaños de ingeniería social realizados en mails, SMSs o llamadas telefónicas.

Recomendaciones para reconocerlo.


Tenemos que tener cuidado de lo que entra y de lo que sale de mi dispositivo informático.


A.    ESTAR ALERTA CON LO QUE ENTRA a mi dispositivo: mails, SMSs, mensajes instantáneos (whatsApp, MEsseger, Telegram, etc)

Mails: Tengo que ver:
1. la dirección del remitente: lo que está después del @
2. el nombre del remitente: lo que está antes del @
3. el contenido

El siguiente mail es de phishing: el nombre y el dominio no son auténticos y el contenido puede producir un shock emocional


 

Otro mail de Phishing:


 

1.    Si recibo un mail de una persona desconocida y la dirección de envío es de algún lugar extraño o totalmente desconocido, NO ABRIRLO. Tampoco abrirlo si el asunto es raro pero activa nuestra curiosidad.
Se suelen usar asuntos como: 
•    Alerta de seguridad
•    Vacaciones reservadas
•    Envío de un delivery
•    Cambie el password inmediatamente
•    Urgente – acción requerida
•    De ANSES
•    Del IFI
•    DE CUIDAR
Si lo abrí puedo hacer clic en para y ver la dirección de correo, leer con atención, le podrían faltar letras, o tener letras que una mirada rápida las saltea. Nunca hacer clic en un vínculo de un mail sospechoso y No contestarlo.
2.    Si el nombre del remitente es muy genérico y la dirección es desconocida. No hacer clic y no contestarlo.
3.    El contenido de un mail de phishing suele ser 
a.    atemporal: puede decir hace un tiempo…, la última vez que visitó…. 
b.    Nos sitúa en un escenario en el cual nosotros realizamos algo nos daría vergüenza que se conozca. Es un shock emocional. Por ejemplo buscamos una cita (dating), miramos un sitio de pornografía, intentamos acceder a un sitio de homebanking
c.    Usa un vector de ataque: por ejemplo decir “hemos prendido su cámara web…” y esto nos sigue shoqueando emocionalmente
d.    Nos ofrece plata fácil o nos pide plata para salir de la situación no deseada.
 
Denunciarlo en Anti-Phishing Working Group y en Google:

 


 
Tenemos cuatro niveles de complejidad del phishing:
1.    El phishing genérico, que lo puede recibir cualquiera
2.    El spear phishing: demuestra mucho conocimiento sobre mis relaciones, gustos y tendencias y menciona mi lugar de trabajo, los lugares donde concurro, etc
3.    Fraude del CEO: si el atacante obtuvo las credenciales del mail oficial o corporativo de mi Jefe me pueden mandar un mail muy imperativo y urgente para que haga algo malicioso, como por ejemplo transferir dinero a una cuenta fraudulenta. En estos casos hay que comunicarse personalmente con el Jefe.
4.    BEC. Business email compromiso: se da cuando el atacante tiene control de los mails que entran y salen de la corporación y los puede sustituir a fin de cambiar, por ejemplo un número de CBU o de cuenta para transferir. Si recibimos un mail que nos cambia la cuenta debemos ponernos en contacto con el verdadero emisor de la solicitud.


B.    ESTAR ALERTA CON LO QUE SALE de nuestro dispositivo electrónico:


Tener cuidado de las URLs a las que ingresamos:
1.    No buscar en Google la dirección de mi banco y luego hacer clic. Conviene escribir la dirección en la barra de direcciones del Navegador y luego crear un marcador.
EL Banco Chile posee la siguiente URL: ww3.bancochile.cl  La URL que se transcribe a continuación busca suplantarla, es falsa: https://portalbancochile.virtual-sms.net/  (Ver PhishTank nro  6715117)
2.    Crear un Marcador de los sitios más visitados para ingresar con más facilidad.
3.    Ver si el sitio donde estoy ingresando tiene un certificado SSL (secure socket layer) a la izquierda de la URL.
En Chome:
•    El candado gris significa sitio seguro
•    El redondel con una “i” en gris indica que no es un sitio seguro
•    El triangulo en rojo indica que es un sitio peligroso.


 
4.    Que tenga un certificado SSL no garantiza la autenticidad. Hay tres tipos de certificados SSL:
a.    DV (domain validation) la entidad emisora del certificado solo valida un dominio respondiendo un mail al contacto del whois o respondiendo un mail al postmaste@...
b.    OV (Organization validation) para entregar este certificado la Autoridad de Certificación verifican la propiedad del dominio y de la empresa, pueden llamar por teléfono a la empresa.
c.    EV (Enterprise validation) para entregar este certificado, la Autiridad de Certificación debe verificar la existencia real, física y operativa de la entidad; verificar los registros oficiales; verificar el derecho exclusivo a usar ese dominio; verificar que la entidad pidió el certificado. Se pueden intercambiar documento firmados.
5.    Asegurarse de que estoy navegando con el protocolo seguro “https”. Esto lo encontramos al inicio de la URL. Indica que nuestra conexión está cifrada por SSL o TSL.    
6.    Usar Chrome ya que tiene HTTP Strict Transport Security (HSTS) u otro navegador que use esta política de seguridad por la que el servidor comunica al cliente que solo recibirá conexiones HTTPS. Esto evita el ataque SSLStrip que reemplaza las peticiones HTTPS por HTTP. El punto débil de la solución es que el primer requerimiento puede ser inseguro, intento entrar con http. Se intenta solucionar esto con una lista precargada de dominios que tiene el navegador para evitar que acceda por HTTP.
7.    Si tengo duda sobre la autenticidad de una URL puedo consultar en PhishTank, en antiphishing.la o en https://report.netcraft.com/report.com que es un sitio en el que se listan y denuncian las URLs de phishing o pharming. Para solo denuncias: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=es-419

 

* Abog./A.C. Carriquiriborde, Sergio  Secretario del Tribunal de Disciplina Consejo Profesional de Ciencias Informáticas de la Provincia de Buenos Aires (CPCIBA), para ImpulsoBaires.com.ar