Phishing: nuestros consejos para detectar correos electrónicos fraudulentos y evitar problemas

Nombres de dominio bizarros, frases llenas de errores, solicitudes inusuales… Los matones del phishing siempre siembran pistas que, si son vistas, ayudan a evitar caer en la trampa.

El correo electrónico sigue siendo uno de los vectores más utilizados para configurar estafas de phishing en las que se induce al usuario a revelar datos personales: direcciones, contraseñas, números de tarjetas de crédito, etc. Ciertamente, todos los proveedores de correo electrónico tienen tecnologías de detección, pero algunos correos aún logran eludirlas. Así que tienes que estar en guardia. Estos son algunos consejos para evitar que te engañen

Inspeccionar direcciones de correo electrónico e hipervínculos

Es un reflejo que siempre debes tener. El software de mensajería no muestra necesariamente la dirección de correo electrónico del remitente, sino un alias que los piratas informáticos pueden modificar a voluntad y que puede resultar engañoso. En el siguiente ejemplo, el hacker se hace pasar por Société Générale. El alias es “Banque Service”, pero la dirección real es “  contact@bouchezenergie.fr  ”, un dominio que es diferente al de Société Générale. Entonces es una estafa.

Del mismo modo, siempre inspeccione los hipervínculos que se encuentran en el cuerpo del correo electrónico. Si el dominio no coincide con el de la marca representada, hay un problema. Obviamente, conocer las URL de los sitios que visita con frecuencia es una ventaja.

Cuidado con las falsificaciones

Verificar los nombres de dominio es bueno, pero aún debe ser meticuloso. Para engañar a los usuarios, los piratas suelen utilizar nombres que parecen muy similares, pero que no son completamente idénticos. Por ejemplo, "societegenerole.com" en lugar de "societegenerale.com". O "facebok.com" en lugar de "facebook.com". Algunos piratas informáticos llegan a utilizar caracteres griegos o cirílicos. Por ejemplo, "www.ıĸea.com" en lugar de "www.ikea.com". O “www.airfrḁnce.com” en lugar de “www.airfrance.com”. Ves la diferencia ? Si es necesario, ¡no dudes en sacar una lupa!

Descúbrelo también en vídeo

)

Sé desconfiado y tranquilo.

"Los dos resortes psicológicos más utilizados en el phishing son la confianza y la urgencia ", dice Thomas Kerjean, director ejecutivo de MailInBlack, un editor de soluciones de seguridad para mensajería. En el ejemplo a continuación, el mensaje se refiere a una marca conocida y, por lo tanto, confiable. Alienta al usuario a iniciar sesión rápidamente, si no desea que su contraseña caduque. Cuando recibes este tipo de mensajes, nunca debes apresurarte, sino respirar hondo y dar un paso atrás.

Evidentemente, el regalo también es un gran clásico. Aunque a menudo es bastante crudo, todavía funciona. Sin embargo, nunca nada es gratis, como bien sabemos.

Mantén tu sentido común

Algunos detalles extraños pueden poner a la pulga en la oreja. En el ejemplo de la suplantación de identidad de Societe Generale (ver arriba), el hecho de que un cliente reciba un mensaje de la junta directiva es muy poco probable. Asimismo, la dirección “tresor-public.com” de ninguna manera puede ser el sitio del impuesto, debido a la extensión comercial “.com”. La dirección real termina en “finances.gouv.fr”.

Un mensaje comercial lleno de faltas de ortografía también debería ponerte de puntillas, porque eso prácticamente no existe. Asimismo, borra inmediatamente los mensajes que llegan como imagen. Los remitentes serios usan texto. Y si tiene dudas, no dude en buscar el consejo de un tercero para obtener una opinión externa.

Respeta estas pocas prohibiciones

“Nunca presione un botón en un correo electrónico” , aconseja Sébastien Gest, consultor de VadeSecure, otra editorial francesa de seguridad de correo electrónico. Los proveedores serios y los proveedores de servicios nunca le pedirán que inicie sesión directamente desde un correo electrónico, sino que lo alentarán a hacerlo desde un navegador. Además, nunca le pedirán que ingrese datos personales en un correo electrónico.

Si recibe archivos adjuntos, solo abra archivos PDF, nunca documentos de Word o archivos ZIP, a menos que esté seguro de que son legítimos. Estos tipos de archivos pueden activar malware cuando se abren. En general, abra solo los archivos que esperaba. Cualquier archivo adjunto que esté fuera de lo común debe prohibirse.

Usar servicios de verificación

El correo electrónico que recibió lo alienta a hacer clic en un enlace que le parece legítimo, pero ¿tiene dudas? Algunos servicios en línea gratuitos pueden permitirle obtener más información. En isitiphishing.org, todo lo que tiene que hacer es copiar y pegar una URL en el campo principal y el sitio le dirá si es una estafa. En phishtank.com, es más o menos el mismo principio, pero con una interfaz gráfica menos atractiva.

Sin embargo, tenemos preferencia por este último sitio, ya que nos parece más actualizado que el primero. Al realizar algunas pruebas rápidas, pudimos ver que los sitios con trampas explosivas enumerados en phishtank.com no estaban incluidos en isitphishing.org. Independientemente del servicio que utilice, dígase a sí mismo que si un sitio no ha sido detectado como malicioso, no significa que no lo sea. Por otro lado, si el servicio te dice que es malicioso, puedes confiar en él. Lamentablemente, estas comprobaciones no funcionan con URL abreviadas.

Entrenarte

Producido por la editorial francesa Vade Secure, el sitio Phishing-IQ-Test.com ofrece una forma divertida de practicar el reconocimiento de correos electrónicos de phishing utilizando ejemplos reales. El usuario ve una docena de correos electrónicos desplazándose, y cada vez, tiene diez segundos para dar su agradecimiento.

El único problema es que debe ingresar un nombre y una dirección de correo electrónico antes de iniciar el juego, lo que tiene el efecto de alimentar una base de datos comercial. Pero nada impide que pongas datos fantasiosos…

Si quieres conocer otros artículos parecidos a Phishing: nuestros consejos para detectar correos electrónicos fraudulentos y evitar problemas puedes visitar la categoría Seguridad.