martes, 28 de noviembre de 2017

¿Que es el Phishing?

El término phishing, es una forma de ingeniería social* para intentar obtener información sobre un usuario mediante el engaño.


En el caso del phishing un atacante se hace pasar por otra persona o una entidad de confianza para la victima, y lo contacta por diferentes medios (el tradicional es via e-mail, pero también pueden ser utilizadas redes sociales, u otras técnicas mediante envió de mensajes con el auge de los smartphones).
El objeto, es qu la victima reciba un mensaje que simula ser original, en caso de ser un banco u otra empresa de servicios, imitando el formato, lenguaje y logo de la entidad supuestamente emisora. En dicha comunicación, se suelen pedir datos personales, como pueden ser usuarios y passwords u otra información sensible, por diferentes motivos, como pueden ser, problemas tecnicos, actualizaciones de políticas, etc.
En dichos mensajes, se incluye un link a una pagina, que es en realidad un sitio falso que imita al sitio oficial, para que el usuario ingrese su información privada, y el atacante (phisher) pueda utilizar dichos datos con diferentes objetivos.

Prevención

Actualmente, los navegadores web modernos como Mozilla Firefox, verificando la url, contra una base de datos de sitios reportados como maliciosos. 

Por ejemplo mostrando una imagen como la siguiente:




Otra de las formas es chequear el sitio web phishtank (https://www.phishtank.com/) el cual provee una lista gratuita que se actualiza constantemente, para prevenir el phishing.

 Como las medidas de seguridad no son fiables al %100 y dependen de que los sitios fraudulentos sean denunciados para que se marquen como peligrosos se recomienda prestar atención a diferentes detalles del sitio como pueden ser:

Que la url, tenga https, por ejemplo que sea https://www.sitio-web.com , que la redacción del mismo sea coherente con la imagen corporativa de la empresa, faltas de ortografía (he visto sitios fraudulentos con muchas faltas), etc.
En caso de generar dudas, siempre es preferible contactar a la entidad emisora del mensaje antes de ingresar nuestros datos, para chequear la autenticidad del mensaje.
Lo que hay que tener en cuenta, es que bajo ningún concepto se le van a solicitar los datos confidenciales via correo electrónico, mensajería como puede ser Whatsapp o Telegram, etc.

Ingenieria Social Es el arte de manipular a las personas, para obtener informacion de ellas, usando diferentes vias de contacto, y haciendose pasar por empresas, familiares, amigos, etc.

No hay comentarios:

Publicar un comentario

Bienvenidos

Primera Jornada de Ciberseguridad Ciudadana

Evento Realizado por el BA-CSIRT El BA-CSIRT , el dia Jueves 12 de Abril de 2018, va a realizar un evento de Ciberseguridad Ciudadana. ...