El CSIRT de Gobierno elaboró una ciberguía para reconocer un phishing y qué hacer en caso de estafa
El aumento de las transacciones bancarias que hoy se realizan a través de internet no sólo ha significado comodidad para los clientes, sino que también han redundado en un incremento de su atractivo para los ciberdelincuentes, que tienen en la falsificación de las webs bancarias y de sus métodos de comunicación digital una oportunidad real de adueñarse no solo de los datos privados de las personas, sino también de sus cuentas bancarias.
Para realizar estos fraudes, los delincuentes requieren solo armar una página web y correos electrónicos o mensajes
de texto para producir el engaño. Por eso, los mensajes fraudulentos son incesantes y, pese a que los bancos, el CSIRT de Gobierno y otras instituciones trabajan permanentemente para advertir de ellos y bloquearlos, es indispensable que como usuarios estemos atentos a estos intentos de engaño y sepamos cómo no caer en ellos.
PHISHING
Es la forma de engaño más común. En ella, mediante un correo electrónico u otra forma de comunicación, como SMS y apps de mensajería, delincuentes invitan o presionan a las personas a ingresar a un enlace adjunto en el correo o bajar un archivo, con el objetivo de dirigir a una página web fraudulenta, donde la persona se expone a perder información personal, bancaria o comercial, o a descargar un programa malicio- so (o malware) en el equipo.
Para conseguir que la víctima acceda a sus requerimientos, los ciberdelincuentes suplantan la identidad de instituciones bancarias u otras empresas o personas de confianza.
¿CÓMO IDENTIFICAR SI ESTAMOS ANTE UN PHISHING?
No hay fórmula infalible, pero generalmente es posible identificar un mensaje falso por características como las siguientes:
INCLUYE contenido alarmante o urgente.
ASUSTA sobre el bloqueo de tarjetas o cuentas bancarias.
TIENE faltas de ortografía o imágenes
de mala calidad.
SOLICITA contraseñas, información
personal o realizar un pago.
OFRECE regalos o productos con un
gran descuento.
ADJUNTA documentos o facturas que
no fueron solicitados.
TIENE un remitente desconocido y que
no proviene de la empresa aludida.
Sitios web falsos: Cuidado con ser víctima de un engaño
Si de todos modos ingresas al link adjunto, probablemente llegarás a algo que, a simple vista, parece ser la página de la institución bancaria aludida. Pero cuidado, antes de ingresar tus datos personales (como usuario, claves y números de tarjeta), revisa la dirección del sitio web para saber si estás realmente en el sitio de tu institución. Es recomendable nunca hacer clic en enlaces que dicen ser de tu banco, AFP, Isapre o cualquier empresa que te ofrece servicios, sino ingresar directamente el nombre de su web oficial en la barra de direcciones de tu navegador web.
Las siguientes imágenes muestran sitios web falsos, pero gráficamente no parecen sospechosos a simple vista.
¿En qué fijarse? Siempre, revisa la dirección web.
Sitio web VERDADERO
La dirección oficial de esta entidad bancaria es: https://www.bancoestado.cl
Por lo tanto, una buena forma de identificar un posible fraude es que la página no comience de
la siguiente manera: https://www.bancoestado.cl/ o, por ejemplo, en el caso del banco Santander https://banco.santander.cl o de la manera
habitual que utiliza su banco que incluirá “.cl”.
Phishing con malware:
A diferencia de los ejemplos anteriores, los phishing con malware (programa o código malicioso) buscan causar daño a cualquier clase de dispositivo, como computadoras, teléfonos móviles, dispositivos IoT e incluso a toda la infraestructura de red.
Existen distintos tipos de malware y cada uno ellos tiene características y formas de propagarse diferentes. Sus consecuencias son variadas: anuncios moles- tos, robo de datos personales o sensibles, pérdida del control del equipo, envío de correos sin consentimiento, cifrado de archivos (para pedir recompensa a cambio de poder desencriptarlos, ataque conocido como ransomware) y otras amenazas, dependiendo el tipo de infección.
Para lograr que sus víctimas descarguen estos archivos maliciosos, los delincuentes adjuntan supuestos documentos importantes para el receptor del mensaje, generalmente facturas. Así, por ejemplo, ocurre en el caso de los correos que suplantan la identidad de la
Tesorería General de la República, en los que señalan falsamente que existirían obligaciones impagas, como muestra la siguiente imagen:
RECOMENDACIONES DEL CSIRT DE GOBIERNO
- Desconfiar de los correos y SMS que provienen de fuentes desconocidas.
- Sospechar de los enlaces y archivos incluidos en los mensajes o emails.
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
- Ser escépticos frente ofertas, promociones
o premios increíbles que se ofrecen por
Internet. Si son muy buenas, duda. - Prestar atención en los detalles de los
mensajes recibidos y las redes sociales. - Confirmar que los sitios web a los que se entre sean los oficiales.
- Nunca ingresar contraseñas si no confías en un sitio web.
- Escribir la dirección web del sitio directamente en el navegador ante sospechas.
- No abrir archivos ni utilizar enlaces contenidos en un correo enviado por un remitente desconocido.
- Revisa el contenido, sospecha ante mensajes alarmantes y faltas de ortografía.
Además, para los administradores de TI se aconseja:
Evaluar el bloqueo preventivo de los
indicadores de compromisos.
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Revisar los controles de seguridad de los programas antispam y de sandboxing.
Realizar concientización permanente para
los usuarios sobre este tipo de amenazas.
¿QUÉ HACER SI CREO HABER SIDO VÍCTIMA DE UN PHISHING?
- Si piensas que has entregado información sensible de la organización de la que eres parte, reporta inmediatamente lo ocurrido a las personas a cargo de la seguridad de la información en la institución y a tus jefaturas. Ellos deben alertar al resto de la organización de lo sucedido para que tomen precauciones.
- Si crees que has revelado información financiera y algunas cuentas pueden haber sido comprometidas, contacta rápidamente a tu banco o institución financiera y da orden de cierre de las cuentas y tarjetas que puedan estar en riesgo. Debes estar consciente que pueden ocurrir algunos cargos en dinero sobre tus cuentas producto de la estafa.
- Cambia las contraseñas que pienses fueron reveladas. Su utilizas la misma claves en diferentes cuentas, asegúrate de cambiar todas las cuentas y no reutilices esa contraseña en el futuro.
- Revisa entre todas tus cuentas, en tus programas y en tus dispositivos si existen señales que indiquen consecuencias de robo de información. Si crees que tu contraseña de alguna red social fue robada, advierte a tus contactos y amigos, ya que podrían intentar estafarlos haciéndose pasar por ti.
- Considera reportar el incidente a la Brigada de Cibercrimen de la PDI para que te puedan guiar sobre qué hacer en lo inmediato y para que puedan investigar a los responsables y colaborar con evitar que este tipo de incidentes vuelvan a ocurrir.