El phishing sigue siendo el método preferido de ciberdelito. Según el reporte 2019 Phishing and Fraud Report, realizado por el centro de investigaciones de F5 Networks, en Estados Unidos el phishing representa el 21% de los métodos que utilizan los atacantes debido a que es fácil y funciona.
Los atacantes no tienen que preocuparse por piratear un firewall, encontrar un exploit de día cero, descifrar un cifrado; la parte más difícil es deslizar un buen truco en el correo electrónico para que la gente haga click y crear un sitio falso al que llegar.
Y para que el engaño sea más efectivo, los sitios a maliciosos a los que redirigen los correos suelen ser imitaciones de marcas o plataformas populares.
¿Cómo evitar ser engañado por el fraude mientras trabaja desde su casa o simplemente mientras se distrae con los eventos actuales?
Especialmente durante eventos rápidos e inciertos, los delincuentes cuentan con las distracciones. Lo están aprovechando para colarse en una estafa. Ya sea aprovechando el mayor volumen de compras en línea, el mayor uso de la educación en línea y el software de ‘reuniones’, o la mayor necesidad de información pandémica e infraestructura crítica, los atacantes pueden estar viendo resultados.
Hemos visto estafas relacionadas con la programación de vacunas, sistemas hospitalarios bloqueados con ransomware y un ataque DDoS contra Departamentos de Salud.
Si bien la mayoría de las organizaciones cuentan con sistemas para detectar y poner en cuarentena tales estafas por correo electrónico, su vigilancia los hará aún más efectivos. Sin embargo, estos sistemas nunca pueden ser 100% perfectos, y puede encontrar estafas de delitos informáticos a través de otros canales, como sus cuentas de correo electrónico personales.
“En una situación en la que las amenazas impactan directamente a los servicios y activos importantes, el tiempo es el recurso más valioso. Herramientas como la contención nos dan más tiempo, pero también necesitamos inteligencia sobre las amenazas que se avecinan, su aspecto y los activos que podrían perseguir”, comentó Carlos Ortiz Bortoni, Country Manager de F5 México. “Es fundamental planificar, preparar y practicar con anticipación para tener las respuestas y herramientas adecuadas listas para funcionar antes de que todo se descontrole en un incidente”, afirmó el directivo.
Al respecto, F5 compartió información sobre la mayor cantidad de esquemas de fraude en línea organizados como resultado de COVID-19, y las medidas de seguridad que una organización puede tomar para no caer tan fácilmente en las garras del phishing:
Verifique la dirección de correo electrónico del remitente.
• Haga clic en la dirección del remitente y verifique que sea de una fuente confiable.
Piénselo dos veces antes de hacer clic en los enlaces o descargar archivos adjuntos.
• Tenga cuidado de abrir archivos adjuntos de correo electrónico y / o hacer clic en enlaces de correo electrónico o enlaces en mensajes de texto de fuentes desconocidas.
• Asegúrese de verificar los dominios que están vinculados, para asegurarse que son dominios confiables y familiares.
• Asegúrese de evitar usar o hacer clic en URL acortadas, como las de servicios como Bit.ly, ya que estas ocultan el verdadero sitio web de destino.
• Si hizo clic en el enlace o descargó un archivo adjunto, no proporcione ninguna información en el sitio web y de la apertura.
No haga clic en enlaces dentro de correos electrónicos o mensajes de texto sospechosos.
• Si recibe un correo electrónico o mensaje de texto que le pide que inicie sesión en una cuenta en línea a través de un enlace proporcionado, en lugar de hacer clic en el enlace, abra un navegador y vaya directamente al sitio web de la empresa.
Ver fuentes y sitios web confiables.
• Tenga cuidado con los sitios web maliciosos o comprometidos. La parte inicial (dominio) de la dirección de un sitio web debe representar a la compañía propietaria del sitio que está visitando.
• Verifique el dominio en busca de errores ortográficos.
o Por ejemplo, los sitios maliciosos suelen utilizar nombres de dominio que intercambian la letra O con un cero (0) o las letras L e I con un uno (1). (si Example.com se escribe examp1e.com, el sitio que está visitando es sospechoso).
• Los sitios que abren agresivamente ventanas emergentes y muestran botones engañosos a menudo atraen a los usuarios para que acepten contenido a través de ventanas emergentes constantes.
Mantenga su software actualizado.
• Descargue la última versión de sus navegadores web y aplicaciones.
• Esto también aplica a las computadoras domésticas. Mantener actualizado el sistema operativo y las aplicaciones de terceros es una acción importante para mantener su computadora segura.
Proteja su información personal.
• Cuando debe proporcionar información personal, ya sea en un formulario web, un correo electrónico, un mensaje de texto o un mensaje telefónico, piense por qué alguien la necesita y si realmente puede confiar en la solicitud.
o Desde la web, quédese con los sitios que usan encriptación para proteger su información.
o Por último, busque https al comienzo de la dirección web de confianza.