Desde AEDHE, recomendamos tener unos hábitos preventivos a la hora de utilizar las herramientas tecnológicas. En internet, todos estamos expuestos a que un “troll” nos engañe haciéndose pasar por otro y obtenga de la empresa y de los distintos departamentos información privada o personal. El nombre que se le ha dado a esta práctica es “Phishing.
El término phishing viene del verbo “pescar” en inglés. En esencia, el phishing es simplemente cuando un usuario malicioso envía un correo para ver si “caemos en la trampa” y le damos información sensible “sin querer”.
¿CÓMO RECONOCER UN CORREO PARA EVITAR PHISHING?
Por lo general, los atacantes intentarán hacerse pasar por una persona de confianza, o de gran relevancia en la empresa, como el CEO, por lo que el correo parecerá enviado como “confiable y predispuesto a ser leído”, con los logos oficiales de la empresa o con enlaces a webs que visualmente son iguales a la de las empresas reales.
Este tipo de correos maliciosos tienen rasgos comunes, que indicamos a continuación:
- Suelen intentar mover al usuario a realizar una acción indicando que ha habido un problema con una cuenta y ofrecen un enlace para recuperar la contraseña.
- Utilizan nombres y adoptan la imagen de empresas reales. Cuidado, a veces “los piratas” no son tan detallistas y el correo puede darnos pistas deque es un “fake”.
- Como gancho utilizan regalos o incluyen ficheros adjuntos con extensiones ejecutables (.exe) o aplicaciones que debes instalar en tu equipo para evitar el “apocalipsis zombie” de la ignorancia.
- El correo tiene una alta urgencia indicándonos que algún periodo de caducidad para tener disponible la información.
- El phishing no sólo se produce por correo electrónico. A veces podemos recibir una llamada de alguien diciendo que es de una empresa conocida, y/o que le demos nuestra clave de cliente o proveedor para comprobar un problema con la cuenta. O incluso para conseguir el “descuento del siglo”.
Por tanto, para prevenir lo máximo posible y evitar “sustos”, facilitamos los diez mandamientos para evitar ser víctima de este engaño.
1.- Evitarás dar datos personales sobre todas las cosas
Nunca -insistimos- NUNCA des datos personales por correo (o teléfono), especialmente contraseñas u otra información sensible.
2.- No tomarás el remitente del correo en vano
En un ataque de phishing el remitente intenta hacerse pasar por alguien de confianza, pero con un poco de atención es posible identificar “pistas” de que nos enfrentamos ante un posible ataque.
- Verifica que el correo es de confianza viendo la dirección de correo del remitente, no te quedes sólo con el nombre que muestra.
- Presta mucha atención a cómo está escrito el remitente del correo
- Presta aún más atención al nombre del dominio y los enlaces.
3.- Desactivarás la previsualización de elementos en clientes de correo
Es aconsejable que accedas al correo electrónico siempre desde su plataforma propia. De esta manera, no te descargas nada en tu equipo sin que previamente hayas hecho un click explícito. Si usas un cliente de correo -una plataforma como Outlook, por ejemplo- comprueba que tienes un antivirus y en la medida posible desactiva las opciones de descarga automática de imágenes y adjuntos.
4.- No clickarás en nada sin revisarlo antes
Aunque el enlace que puedes ver parezca correcto no te fíes. Mueve antes el ratón sobre el enlace y mira qué pone en la barra inferior del navegador: ahí podrás ver la verdadera dirección del enlace.
5.- No consentirás faltas de ortografía
Parece mentira, pero muchas veces los ataques de phishing contienen errores ortográficos graves, en parte por los “errores de traducción”, de un sistema automatizado o de una persona. Insistimos, “estate pendiente de esas pequeñas PISTAS”.
6.- No cometerás errores por hacer algo con prisa
Una técnica común de los correos de phishing es pedirle al usuario que realice una acción de forma inmediata y urgente, generalmente aduciendo que hay un tiempo límite para llevar a cabo una acción, tal y como hemos indicado anteriormente. Ante el phishing evita las acciones precipitadas. Revisa siempre.
7.- (Ante la duda) Preguntarás al remitente o al especialista informático de tu empresa
Si recibes un mensaje de correo sospechoso, aunque sea de una dirección bajo un dominio conocido, pregunta al profesional especialista en el mundo digital. Este mandamiento es especialmente importante si el correo te pide que realices alguna acción como entrar en un enlace en concreto o enviar tu contraseña.
8.- No escribirás tu contraseña o datos personales en servidores no cifrados
Si has entrado en un enlace y la página que te pide introducir información personal no empieza por https://…desconfía. La “s” final indica que es un servidor seguro que utiliza encriptación para transmitir tu información personal. Si pulsas sobre el candado en el navegador puedes ver más información sobre el sitio para garantizar que es quien dice ser.
9.- Dudarás sobre todas las cosas
En el mundo real, si aparece un desconocido por la calle y te pregunta “dónde vives”, la primera reacción que tengas es la de “desconfianza”. En el mundo digital, esta desconfianza debe triplicarse, porque internet facilita al límite máximo “el anonimato”. Toma buena nota.
10.- No instalarás nada que venga por correo
Nunca instales nada que venga en un correo y QUE NO SEPAS exactamente QUÉ HACE. Sobre todo, si no tienes clara la procedencia del correo. No tocar es la mejor manera de mantener el equipo seguro. En caso de duda, recuerda preguntar a los especialistas informáticos.
Para más información sobre ciberseguridad contactar con el Área de Innovación de AEDHE a través del correo electrónico innovacion@aedhe.es
–
Fuente: medios de comunicación (Newtral)