Ataque phishing, amenaza creciente

¿Qué es el phishing?

La amenaza de phishing  es cada vez mayor, por ejemplo en el primer semestre de 2012  hubo en todo el mundo un 19% más de ataques de phishing que en los seis meses anteriores. Pero, ¿sabemos qué es el phising? El phising es un ataque informático en el que se intenta conseguir datos confidenciales de la víctima como pueden ser contraseñas o datos bancarios, mediante el uso correos electrónicos donde se hace pasar por una persona o empresa de confianza.

El aumento de phishing es consecuencia de dos factores: los ataques de phishing son relativamente fáciles de llevar a cabo  y, por lo general, suelen lograr su cometido. Hoy en día no hace falta ser ningún experto  en hacking, debido a los llamados “kits de phishing” que circulan por la red.  Es más, hay un nuevo modelo de negocio conocido como MaaS (software malicioso como servicio) en el que los autores de los “kits” ofrecen servicios adicionales a sus clientes.

A diario se envían unos  156 millones de mensajes de correo electrónico con intentos de phishing. De los que consiguen pasar los filtros de seguridad unos 16 millones, unos 8 millones llegan a abrirse y 800.000 destinatarios acaban haciendo clic en un enlace dañino.

El clima de la situación económica actual ofrece a los delincuentes más oportunidades para actuar. Por ejemplo, una de las estafas más habituales consiste en enviar un correo electrónico que simula provenir de una entidad bancaria que recientemente ha adquirido el banco o caja de ahorros de la víctima.

Algunos ataques combinan técnicas de phishing y software malicioso. Por ejemplo, una víctima recibe el enlace a una postal electrónica en un correo electrónico. Al hacer clic en el enlace para ver la tarjeta, la víctima en realidad accede a un sitio web fraudulento que descarga un troyano en su equipo. Y la victima confiada descarga el software, que puede ser un programa intruso para registrar las operaciones  realizadas desde el ordenador.

Otros ataques pueden realizarse a través del teléfono móvil, haciéndose pasar por una institución financiera real. En ellos los atacantes usan SMS como alternativa al correo electrónico. La estafa típica consiste en informar al titular del teléfono móvil de que alguien ha entrado en su cuenta bancaria sin su consentimiento. Se le explica a la víctima que para reactivar la tarjeta debe llamar a un determinado número de teléfono o visitar una web, el cual es fraudulento.

Phishing en la empresa

Los ataques que suplantan el sitio web oficial de su empresa perjudican su imagen de marca en internet y disuaden a los clientes de usar sus servicios. En caso de fraude, la empresa no solo tendrá que asumir los costos directos de las pérdidas, sino que también se expondrá a otros riesgos.

Hay tecnologías que pueden proteger a su empresa y a sus clientes, por ejemplo la utilización de Secure Sockets Layer (SSL) y SSL con extended validation (EV) (protocolo HTTPS) son fundamentales para combatir la suplantación de identidad y otras estafas. Estas tecnologías cifran la información confidencial y certifican la propiedad del sitio web.

La tecnología  SSl con Extended Validation es una manera fácil y confiable de ganarse la confianza de quienes visitan su sitio web. Al establecerse la conexión con el sitio, el navegador muestra la barra de direcciones en color verde, apareciendo el nombre de la empresa titular del certificado SSL y el nombre de la autoridad de certificación emisora. De este modo, los visitantes tienen la seguridad de que la transacción está cifrada y de que está visitando el sitio real de la empresa asociada (los estafadores que crean réplicas de sitios web no pueden disponer de un certificado SSL con EV.

Cómo reconocer correos fraudulentos

Además de implantar la tecnología SSL con EV, su empresa debe seguir enseñando a sus clientes y equipo a protegerse frente al fraude en internet. Hay varios indicios para reconocer un ataque phishing:

  •  Errores ortográficos
  •  Saludos genéricos en lugar de personalizados
  •  Enlaces que urgen realizar alguna acción
  • Amenazas relativas al estado de una cuenta
  • Solicitud de datos personales
  • Nombres de dominio o enlaces falsos

 La clave para proteger a su empresa, es adoptar las tecnologías SSL más recientes, estar siempre al tanto de las nuevas estafas y elegir una autoridad de certificación que garantice el máximo nivel de protección en internet, y sobre todo utilizar el sentido común. Para mejorar la seguridad dentro de la empresa, deberemos de formar a todo el equipo para que tenga una cultura responsable y segura.

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: