En el catálogo de glosario de términos del CCN-CERT viene explicado el método y denominación del término phishing.
«Método de ataque que busca obtener información personal o confidencial de los usuarios por medio del engaño o la picaresca, recurriendo a la suplantación de la identidad digital de una entidad de confianza en el ciberespacio».
«Es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta».
«Los ataques de phishing usan la ingeniería social para adquirir fraudulentamente de los usuarios información personal (principalmente acceso a servicios financieros). Para alcanzar el mayor número de víctimas e incrementar sus posibilidades de éxito, utilizan correo basura (spam) para difundirse. Una vez que llega el correo al destinatario, intentan engañar a los usuarios para que faciliten datos de carácter personal, normalmente conduciéndolos a lugares de internet falsificados, páginas web, aparentemente oficiales, de bancos y empresas de tarjeta de crédito que terminan de convencer al usuario a que introduzca datos personales de su cuenta bancaria, como su número de cuenta, contraseña, número de seguridad social, etc.».
Fuente: CCN-STIC-401 (Glosario y Abreviaturas).
¿Qué debemos tener en cuenta a la hora de detectar phishing en nuestro correo o dispositivo móvil?.
- Remitente: el nombre que se muestra puede ser real pero se debe comprobar la dirección de correo del remitente.
- Destinatario: este tipo de ataques va dirigido a una gran multitud, es posible que en CCO (copia oculta) puedan ocultarse muchos correos de personas.
- Asunto: llevan términos para llamar tu atención, términos de «gancho».
- Archivos adjuntos: precaución al clicar o descargar un archivo adjunto, en la mayoría de los casos infectará tu ordenador o dispositivos con malware.
- Redacción: suele estar mal escrito o con muchos errores ortográficos, fruto de una mala traducción o por ser generados por bots.
- Enlaces o imágenes incrustadas: precaución de nuevo, te redirigirán a webs llenas de malware.
- Temática: ¿nos ha tocado algo o regalan algo, por seguridad hay que cambiar datos importantes?.
- Firma: muchos correos de este tipo presentan firmas dudosas o claramente informales. Si son organismos o empresas oficiales nunca firmarán de esa manera.
- Solicitud de contraseñas: empresas serias o bancos nunca te pedirán contraseñas o cambios a través del email.
- Aplicar sentido común: creo que es lo más importante y analizar durante un momento qué se nos está ofreciendo o pidiendo.
Fuente: https://derechodelared.com/diez-formas-de-detectar-phishing/
S@lud0$