Cómo evitar las estafas de phishing

Escribir malware es solo otro trabajo de codificación en estos días, pero es difícil. Los codificadores legítimos necesitan crear programas que hagan lo que deben hacer, en cooperación con el sistema operativo y cualquier otro proceso. Los codificadores de malware tienen la tarea adicional de crear programas que puedan ocultar sus actos nefastos del sistema operativo y de los programas antivirus. No es una manera fácil de ganar dinero. No es de extrañar, entonces, que algunos malhechores eviten intentar burlar al sistema operativo y cambiar a un objetivo mucho más fácil … ¡tú! Crean copias fraudulentas de sitios web populares y esperan a que las víctimas inicien sesión. Cuando ingresa sus credenciales en una de estas falsificaciones, ha entregado su cuenta a los estafadores. Sin embargo, mantenga los ojos abiertos y podrá evitar ser estafado.

El factor COVID-19

Con un gran número de personas atrapadas en casa, buscando entretenimiento en Internet, los estafadores de phishing están en el paraíso. Para empezar, acaban de ganar una audiencia más amplia para los fraudes ordinarios de robo de credenciales. Pero el miedo, la incertidumbre y la duda provocados por esta pandemia sin precedentes son el alimento perfecto para nuevos tipos de estafas.

Incluso en abril de 2020, Google informó que bloqueaba 18 millones de estafas relacionadas con virus todos los días. Google hace un buen trabajo; las estimaciones sugieren que bloquea el 99,9 por ciento de los correos electrónicos no deseados y de phishing. Eso significa, sin embargo, que todos los días llegaban 18.000 mensajes no deseados a un número desconocido de víctimas.

Los estafadores de virus no solo buscan sus contraseñas; quieren tu dinero. Las estafas y las estafas han existido desde que la humanidad, y funcionan en línea tan bien como en persona. Tenga cuidado con cualquier correo electrónico que tenga alguna conexión con la pandemia, especialmente si le insta a hacer clic en un enlace o descargar un archivo. Si le preocupa la sensación de urgencia del correo electrónico falso, vaya directamente a la fuente en lugar de utilizar un enlace proporcionado.

Recuerde también que el cheque que espera del Tío Sam se llama “pago de estímulo económico”. Si ve una frase como “verificación de estímulo”, está viendo una estafa.

Personalmente, no he encontrado fraudes o estafas relacionados con COVID-19, tal vez gracias a Google. Y los sitios web que busco para encontrar fraudes de phishing en el mundo real para realizar pruebas se centran en el robo de credenciales, no en otros tipos de estafas. Pero no dudo ni por un segundo que los estafadores de virus están ahí, en vigor.

Para obtener consejos específicos sobre cómo protegerse de este tipo de amenaza, lea Cómo detectar y evitar las estafas de COVID-19.

Cómo funcionan las estafas de phishing

La clave para ejecutar una estafa de phishing de robo de credenciales es crear una réplica de un sitio web seguro que sea lo suficientemente bueno como para engañar a la mayoría de las personas, o incluso solo a algunas personas. Con las falsificaciones más elegantes, cada enlace va al sitio real. Bueno, todos los enlaces excepto el que envía su nombre de usuario y contraseña a los perpetradores. Como guinda del pastel, los estafadores pueden intentar crear una URL que parezca al menos un poco legítima. En lugar de paypal.com, quizás pyapal.com o paypal.security.reset.com.

Sin embargo, no todas las páginas de phishing están bien hechas. Algunos utilizan colores incorrectos o no coinciden con la página que imitan. Otros tienen URL totalmente poco convincentes, como admin.dentistry.com/forms o X8el87.journal.com. Incluso estas falsificaciones poco convincentes pueden conseguir algunos tontos, aparentemente, o los estafadores se rendirían.

Cuando ingresa su nombre de usuario y contraseña en un sitio de phishing, los propietarios del sitio obtienen acceso completo a su cuenta. Para evitar que se dé cuenta de que ha sido estafado, es posible que le pasen las credenciales al sitio real, por lo que parece que inició sesión normalmente. Su única pista puede venir cuando descubra que su cuenta bancaria está vacía, o que no puede iniciar sesión en su correo electrónico, y sus amigos dicen que están recibiendo spam de usted. Entonces, ¿cómo te proteges contra este tipo de ataque?

Elimina lo obvio

Algunos sitios web falsos están demasiado mal implementados para convencer a cualquiera que esté prestando atención. Si enlaza a un sitio y parece basura, presione Ctrl + F5 para volver a cargar la página por completo, en caso de que la mala apariencia fuera una casualidad. Pero si todavía no se ve bien, manténgase alejado.

Mira la página de arriba. El formato es extraño, y lo es más a medida que cambia el ancho de la ventana del navegador. Las etiquetas de los campos de correo electrónico y contraseña se mueven de manera diferente a los campos de entrada de datos correspondientes. ¿Qué tan difícil hubiera sido centrar todo el contenido?

Cuando crea una página de phishing, la verosimilitud es esencial. El uso de un servicio de alojamiento web gratuito que deja su banner en su página o su dominio en su URL es una especie de obsequio. Aun así, cada vez que ejecuto una prueba de protección contra el phishing, me encuentro con un puñado de falsificaciones como esta que ni siquiera lo intentan. ¿Quién creería que Facebook usa 000webhostapp.com?

Verifique la dirección

Los navegadores web modernos se están alejando de un gran enfoque en la barra de direcciones. Ahora es la barra de búsqueda más direcciones, como mínimo. Pero esa barra de direcciones es un recurso extremadamente importante cuando estás mirando una página para confirmar que es legítima. Los mejores rastreadores de suplantación de identidad pueden detectar una URL fuera de lugar por el rabillo del ojo, sin siquiera pensar en ello.

Tenga cuidado con los intentos de ocultar la parte del dominio real de la URL. Esa es la parte que precede inmediatamente al .com, .net, .org final, etc. Todo lo que viene antes del dominio es solo un subdominio. Si existiera la URL fakery.paypal.com, sería un subdominio de paypal.com. Si en cambio ves paypal.fakery.com, bueno, ¡eso es pura falsedad!

Los ataques de phishing en cuentas de Dropbox u otras cuentas de almacenamiento en línea no tienen el valor garantizado que obtienen los ladrones al capturar los inicios de sesión bancarios. Por el contrario, las personas no necesariamente aplican el mismo nivel de vigilancia a estas cuentas. Cualquier cosa puede aparecer en el almacenamiento en línea, desde una lista de pedidos de galletas Girl Scout hasta planes secretos para una misión a Marte. Del mismo modo, no hay mucho potencial de ingresos obvio en la captura de inicios de sesión para la transmisión de medios, pero el acceso a esa cuenta puede llevar a comprometer alguna cuenta más importante con las mismas credenciales. Eche un vistazo a la barra de direcciones en la imagen de arriba. Incluso si inicia sesión en Netflix estafando las credenciales de un amigo idiota, ¡seguramente no verá “amigo idiota” en la URL!

Aquí hay otra rareza. Claramente, la URL no representa Xfinity, Comcast o cualquier marca relacionada. Pero más allá de eso, el navegador agita una gran bandera roja, señalando que el certificado de seguridad del sitio ha sido revocado. Sí, los webmasters de sitios válidos ocasionalmente se equivocan y dejan que sus certificados caduquen, pero esta página es claramente un fraude.

Busque la cerradura

El sistema de comunicaciones del Protocolo de transferencia de hipertexto (HTTP) utilizado para la comunicación básica por Internet es un vestigio de los primeros días de la World Wide Web. No es seguro, porque nadie imaginó a otros haciendo malo cosas en la naciente Internet. Bueno, los malos están aquí, y la única forma sensata de conectarse es utilizando el protocolo seguro HTTPS. Los navegadores web muestran un icono de candado para las páginas HTTPS. Chrome va un paso más allá y marca activamente los sitios HTTP como “No seguros”. Nunca debe iniciar sesión en ningún sitio que no use HTTPS.

“Pero espere”, puede argumentar, “¿qué pasa con un sitio legítimo que simplemente no ha logrado ser seguro?” Lo siento, no lo compro. En esta era de HTTPS Everywhere no hay excusa. Un sitio que quiere que inicies sesión sin usar HTTPS, incluso si no es un fraude, simplemente no es legítimo.

Si no nota el dominio .ru, esta página puede parecer una página de inicio de sesión legítima de Amazon. Sin embargo, tenga en cuenta que no hay bloqueo y que la dirección comienza http :, no https :. No toque esta página; es malvado!

A veces, simplemente no puedes saberlo mirando. El sitio web de Commonwealth Bank llama a su sistema bancario en línea Netbank. La página segura en netbank.com que se muestra arriba mira legítimo. Si no está seguro, un vistazo rápido a los datos whois del dominio puede ayudarlo a tomar una decisión. Creo que podemos estar de acuerdo, es muy poco probable que el sitio del Commonwealth Bank real aparque su alojamiento en CrazyDomains.com.

Considere la fuente

Lo has escuchado un millón de veces. No haga clic en enlaces en mensajes de correo electrónico de personas que no conoce. No haga clic en enlaces en mensajes de personas que hacer saber, ya que pueden haber sido pirateados. ¡Este es un buen consejo! Hacer clic en un enlace aleatorio podría llevarlo a un sitio de alojamiento de malware o un fraude. Cuando el enlace lo lleva a una página de inicio de sesión, es especialmente importante considerar la fuente.

Es posible que reciba un mensaje de correo electrónico de su banco, aunque muchos bancos evitan esa forma de comunicación. Si hizo clic en un enlace en un sitio no relacionado y terminó en el inicio de sesión de Bank of Armórica, es muy probable que sea falso.

Pero, ¿qué pasa si su banco, el Servicio de Impuestos Internos (IRS) o PayPal realmente están tratando de comunicarse con usted por un problema con su cuenta? La solución es simple: omita el enlace e inicie sesión en el servicio directamente, como lo haría normalmente.

Obtenga ayuda para combatir el phishing

Ser más astuto que los estafadores, detectar sus artimañas más astutas, te da una buena sensación, seguro. Pero es posible que mañana no sea tan inteligente, por lo que vale la pena solicitar ayuda en la lucha contra las estafas de phishing. Los navegadores modernos incorporan protección contra sitios fraudulentos y hacen un trabajo decente. La mayoría de los productos de la suite de seguridad y antivirus añaden su propia protección contra el phishing; los mejores obtienen puntuaciones de hasta el 100 por ciento de protección en nuestras pruebas.

El uso de un administrador de contraseñas también lo ayuda a mantenerse alejado de los fraudes. Con la mayoría de estos productos, puede visitar un sitio seguro e iniciar sesión con un solo clic. Y si de alguna manera logra llegar a un sitio fraudulento, el hecho de que su administrador de contraseñas no complete las credenciales de inicio de sesión guardadas es una gran señal de alerta.

Los internautas más experimentados utilizan una red privada virtual o VPN para sus actividades en línea. El uso de una VPN protege sus datos en tránsito, porque los datos viajan en forma encriptada al servidor VPN. También ofrece cierta protección contra el acoso cibernético, porque su tráfico parece provenir del servidor VPN, no de su dirección IP local. Pero enrutar el tráfico web a través de una VPN no ayuda en absoluto contra el phishing. Cuando les da sus credenciales a los propietarios de un sitio de phishing, no importa cómo llegaron allí. Objetivo de los ataques de phishing usted, no sus dispositivos o sistemas de comunicación.

El phishing es más frecuente de lo que imagina. Para obtener las imágenes de este artículo, simplemente tomé las últimas cinco o seis docenas de fraudes verificados de un sitio de rastreo de phishing popular y los revisé, buscando buenos ejemplos. Sí, las páginas fraudulentas se incluyen rápidamente en la lista negra, pero los estafadores simplemente cierran y aparecen con una nueva página de estafas.

Protéjase del phishing

Para evitar el dolor de ser estafado con el dinero que tanto necesita, o la vergüenza de ceder sus datos confidenciales a un fraude, utilice los recursos disponibles, como los administradores de contraseñas y el sistema de detección de phishing en su antivirus. Pero mantén tus propios ojos abiertos para detectar cualquier fraude que se produzca. Si una página proviene de un enlace sospechoso, si no hay un bloqueo HTTPS en la barra de direcciones, si se ve mal de alguna manera, ¡no la toques! Tu vigilancia dará sus frutos.