Hace algunos días nos enteramos por varios medios de prensa sobre el robo a un empresario al cual le saquearon la cuenta bancaria a través de un ataque de phishing. Dicha noticia causo un gran impacto ya que la transferencia sustraída ascendió a 700 mil pesos, los cuales fueron distribuidos a otras cuentas de los criminales, los que luego fueron capturados. Es por eso que decidimos compartir con ustedes una pequeña guía que detalla los puntos más importantes de este tipo de ataque de phishing bancario.
Para comenzar con esta pequeña guía vamos a recordar que los ataques de phishing consisten en el robo de la información personal de la víctima, en este caso datos bancarios. Estos ataques son acompañados con técnicas de Ingeniería Social para lograr una mayor credibilidad falsificando la entidad de confianza de la víctima, tal como podemos ver en la siguiente imagen:
En este tipo de ataques es posible encontrar varias características que comparten los correos de phishing bancarios:
- Los mensajes siempre incluyen un enlace que hace referencia a la supuesta entidad financiera.
- Existen casos en que se exige al usuario ingresar algún tipo de información, este punto es muy importante ya que nunca una entidad financiera va a pedir los datos de esta manera.
- Los correos presentan logotipos de la compañía.
- El remitente del correo simula ser de la compañía.
Es importante ser conscientes de la existencia de esta modalidad de ataques, así como también que el usuario debe poder reconocer un correo que se trate de phishing, para que de esta forma no se convierta en una potencial víctima. Es por esto que les ofrecemos las siguientes recomendaciones:
- Verificar siempre la legitimidad del correo, a través del contacto con la entidad.
- Nunca hacer clic en los enlaces que vienen incluidos en el correos que solicitan información.
- Verificar la seguridad del sitio y observar si este utiliza el protocolo de seguridad https (aunque esto no es sinónimo de garantía total de seguridad) como así también si utiliza un certificado digital válido.
A pesar de todas estas medidas, que muchos de los usuarios dicen conocer, estos ataques siguen teniendo una alta efectividad para los criminales informáticos. Un ejemplo de esto fue el phishing bancario que capturó 35 tarjetas de créditos en 5 horas. Los invitamos a seguir informándose de estas amenazas que publicamos periódicamente en nuestro blog de laboratorio.
Claudio Cortés Cid
Especialista de Awareness & Research