¿Qué es el phishing y cómo se evita?

Recibimos tantas comunicaciones al día que entre todas ellas es fácil encontrar alguna que resulte sospechosa de ser un ataque de phishing. Te enseñamos a detectarlas y protegerte:
20200317_BLOG_PHISHING_1

En el día a día solemos recibir mensajes, correos, WhatsApp y un sinfín de comunicaciones electrónicas. Tantas que a veces no llegamos a todas. 

Y entre todas ellas, una capta tu atención. Un mensaje que parece fiable, de una empresa reconocida que te invita a hacer clic en alguno de sus enlaces, o a compartir información personal. ¿Te suena?

Recibimos tantas comunicaciones al día que entre todas ellas es fácil encontrar alguna que resulte sospechosa de ser un ataque de phishing. Te enseñamos a detectarlas y protegerte:

¿Qué es un ataque de Phishing?

En un mundo donde la información cada vez es más accesible e inmediata, resulta complejo crear nuevas formas de estafa, por lo que es común que los ciberdelincuentes agudicen el ingenio.

Cada vez son más sofisticadas las formas de contactar con las posibles víctimas de phishing y otras estafas. Una de las técnicas que más se está llevando a cabo es la “ingeniería social”, o cómo usar la manipulación psicológica para que los usuarios revelen información confidencial o realicen una acción en beneficio del ciberdelincuente. Los atacantes saben que es fácil manejar a las personas usando los mensajes adecuados. 

Un ataque de phishing es un tipo de estafa en la que un ciberdelincuente (o phisher) intenta robar información privada y confidencial de una persona haciéndose pasar por una empresa reconocida o persona física.

Los canales que estos ciberdelincuentes usan como “cebo” son muchos: email, SMS (smishing), llamadas telefónicas (vishing), páginas web, WhatsApp o incluso redes sociales. Es en este canal donde los atacantes, una vez establecido el contacto con los usuarios, solicitan información personal desde una cuenta que pueda parecer de confianza, a través de mensajes privados.

¿Cuál es el objetivo de un ataque de Phishing?

El objetivo de estas comunicaciones es substraer datos personales, como nombres de usuarios y contraseñas, datos de tarjeta de crédito, de cuentas bancarias… Cualquier tipo de información que sea útil para sacar beneficio de ella, bien sea para robar dinero de nuestras cuentas bancarias o tarjetas de crédito o para venderla a otros ciberdelincuentes. Otra práctica muy frecuente es la solicitud de préstamos en nombre de la víctima que, además de quedarse sin dinero, debe hacer frente a una deuda en ocasiones cuantiosa.

Cómo funciona un ataque de Phishing

Todos hemos recibido algún tipo de comunicación, que a simple vista parece fiable, pero no lo es. Estas comunicaciones, se utilizan como cebo, y simulan ser de una entidad conocida, de la que incluso puede que ni siquiera seas cliente. Existen algunos indicios que nos permiten identificar de manera rápida que estamos siendo víctimas de un posible ataque de phishing: 

  • Falsa entrega de un producto: 

El ciberdelincuente envía un mensaje informando sobre una supuesta entrega de un producto que, por algún motivo, no se ha podido entregar. Estos emails incluyen logos y nombres de empresas conocidas de mensajería y paquetería. 

El objetivo de este email es que hagas clic en algunos de los links que supuestamente te llevan a hacer seguimiento del envío, para después solicitar datos de tarjetas de crédito o cuenta corriente para completar la supuesta entrega. 

Para evitar cualquier estafa, basta con no hacer clic en ninguno de los enlaces que se adjuntan y borrar el mensaje. 

  • Supuesto pago pendiente:

El phisher informa a través de un correo electrónico u otros medios, que existe una factura o pago pendiente de un proveedor o empresa conocida, y proporciona un vínculo para acceder.  

El objetivo es que la víctima de fraude ingrese una serie de datos personales, útiles para el ciberdelincuente. 

  • Descargas:

Otra estafa de suplantación de identidad que se usa con frecuencia, es aquella en el que se pide al receptor que abra o descargue un documento. A menudo, se solicita además un inicio de sesión, momento en el que el atacante puede apropiarse de usuarios y contraseñas personales. 

  • Falso aviso de seguridad: 

El ciberdelincuente, suplantando la entidad de empresas importantes y conocidas, envía un mensaje de alerta sobre problemas de seguridad, en el que incluye enlaces fraudulentos. 

  • Falsa oferta de productos:

En este caso, se envía una comunicación en nombre de una empresa, de la que incluso podrías ser cliente, ofreciendo un nuevo producto o servicio. Al tratarse de una venta ficticia de producto, el ciberdelincuente pedirá datos personales y bancarios.

  • Sorteo de premios falsos:

En este tipo de estafa, se envía una comunicación a la víctima informando que ha sido premiada con un regalo muy atractivo a través de enlaces falsos de empresas conocidas. Normalmente para conseguir “el premio”, se deben completar una serie de datos entre los que se encuentran información de tarjetas, para los gastos de envío del premio; el pretexto perfecto para conseguir nuestros datos bancarios y realizar operaciones fraudulentas en nuestro nombre.  

¿Cómo evitar y reconocer un ataque de Phishing?

Lo primero que debes hacer para evitar ser víctima de un ataque de phishing es saber reconocer este tipo de comunicaciones. ¿Cómo?

  • Errores gramaticales y ortográficos:

En algunos   casos, estos mensajes se envían desde el extranjero utilizando traductores automáticos, con errores muy fáciles de reconocer. 

  • Falta de personalización: 

En ocasiones suelen empezar el mensaje con la frase “estimado cliente”, sin personalizar el contenido con tu nombre.  

  • Solicitud de datos personales:

Como tu número de cuenta bancaria, datos de acceso, e incluso el PIN de tu tarjetas. Este tipo de datos nunca deben ser solicitados a través de estos canales. 

  • Datos de contacto:

El envío lo realiza una persona que se hace pasar por un comercial o empleado de una empresa, con la que sueles trabajar, pero no le reconoces. 

  • Remitente dudoso:

En muchas ocasiones el remitente se corresponde a una empresa de la cual no eres cliente. 

  • Tono de miedo y urgencia:

A veces solicitan que actúes de manera inmediata, e incluso tratan de infundirte pánico con algunos problemas o consecuencias negativas que puedes sufrir si no haces lo que te piden en el mensaje, como puede ser el cierre de tu cuenta. 

  • Tono de "confidencialidad":

En entornos empresariales, se busca ese tono de "confidencialidad" en mensajes aparentemente enviados por el presidente o el CEO de la compañía. 

  • Emails desconocidos y extraños:

También es frecuente el uso de emails con símbolos extraños, números y letras descolocados, que nada tienen que ver con el nombre corporativo de la empresa a la que quieren suplantar. 

Si eres cliente de Orange Bank, recuerda que nunca te pediremos tus claves por canales ajenos a la app. Nuestro funcionamiento es 100% móvil, por lo que en caso de que recibieras una solicitud de información personal por otros canales como web, redes sociales, correo electrónico o SMS, puedes contactar con nosotros a través del chat de la app, o del mail teayudamos@orangebank.es para reportarnos este hecho.

¿Qué puedes hacer si detectas un caso de Phishing, o peor aún, si has sido víctima de alguna de estas estafas? Haz clic en este link para conocer nuestros consejos de seguridad.