El Phishing es un clásico dentro de las amenazas de Internet, se trata de hacerse pasar por quien uno no es o no representa, es decir llevar acabo una suplantación de la identidad de un tercero.

Se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como «phisher», se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, habitualmente por medio de un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. Algunos ejemplos o supuestos relacionados, Pharming (cambio de la dirección IP legítima de una entidad), SmiShing (Phising vía SMS) o Scam (premio de lotería o similar previo envío de dinero).
En general, los porcentajes de Phishing existentes en la red se dividen en un 70% destinados a suplantar la identidad de entidades financieras, casi un 9% a sistemas de pago y un 21% a tiendas online o e-comerce. En detalle, en la actualidad, existe una segmentación del Phishing respecto a las distintas plataformas o ámbitos, según la ingeniería social que el «Phisher» desarrolle. En redes sociales es de un 35% de penetración respecto al phishing en general, en banca online (páginas que suplantan las páginas Web reales de entidades financieras) es de cerca de un 32%, en e-mails o correos electrónicos, es de un 23% y en juegos online un 2,3% (según datos aportados por Kaspersky-lab).

Ayer sin ir más lejos, en Twitter, se reportó por parte de las Fuerzas de Seguridad del Estado el siguiente mensaje o twitt sobre el hecho de que estaba circulando como Phishing por la red la siguiente notificación:

phishing guardia civil

Es por tanto, como hemos podido observar en el ejemplo anterior, muy habitual pretender engañar al usuario con mensajes de este tipo, en muchas ocasiones, alertando de que en la entidad financiera del interesado o usuario, se ha producido una brecha de seguridad o un cargo en cuenta y con ese pretexto, es necesario cambiar la clave o hacer algún tipo de acción que conlleve a hacer click en un banner o enlace puesto a disposición en la misma notificación, en aras de redirigir al usuario a una página Web que simula ser la de su entidad financiera pero sin serlo, con el objetivo como he comentado anteriormente de obtener las credenciales o claves de acceso a la cuenta del interesado o usuario. Muchas veces con el solo hecho de observar la URL, nos daremos cuenta de que no obedece a la de nuestra entidad financiera, no obstante, atención y mucha precaución, ya que a veces establecen una dirección o URL la cual aparenta ser la de nuestra entidad financiera y es solo al final de esta URL cuando uno se puede percatar de que es falsa, pero atención, porque a veces al no estar a la vista en la parte superior de nuestra pantalla la línea completa de la URL, podemos caer en la trampa puesta por el “Phisher”.

La semana pasada, sin ir más lejos, recibí en mi propio correo personal la siguiente notificación, similar a la reportada ayer vía Twitter:

Entrada SPAM

Evidentemente, este caso de Phishing es muy vulgar y es muy difícil que nadie pueda caer en un caso como el que me remitieron la semana pasada, ya que el remitente es claramente diferente al que debería aparecer en caso de tratarse de la entidad financiera, así como la propia URL que he detallado encima del banner de «más información», no coincide con la URL de la identidad suplantada. Por no mencionar que además no soy cliente de dicha entidad financiera que se ha tratado de suplantar y que el correo electrónico recibido, se encontraba en la carpeta de spam de mi cuenta personal de e-mail.

No obstante a todo lo anterior, hay que remarcar que por lo general, una entidad financiera jamás nos solicitará información o cambio de credenciales vía correo electrónico.

En los supuestos en los que estemos comprando en comercios electrónicos, siempre debemos hacerlo en páginas web en las que podamos observar el certificado de seguridad implantado con su corresponde identificador y que este coincida con la dirección que nos aparece en la barra de navegación. Pero además de esto deberemos tener en cuenta que reseñas y de que reputación dispone dicha web en la red, para ello llevaremos a cabo diversas búsquedas en la propia red.

Por continuar con más ejemplos reales de Phishing a los que he tenido acceso directo, en este caso se trataba, de una compra-venta Online que como decía, estudié en su día, se anunciaba en una web de compra venta de productos B2C y C2C un producto de cierta cuantía dineraria a un precio muy tentador. En concreto, en la notificación inicial por parte del vendedor, se trató de conseguir el previo pago antes del envío, pero tras las sospechas de nuestro interesado, se solicitó un pago por medio de un tercero, a lo cual el «Phisher» respondió con el siguiente mensaje:

Buenos días,

Porque soy un vendedor privado y para nuestra seguridad sugiero para utilizar una empresa de fideicomiso que se encargará de envío y pago.
Le explico paso a paso cómo funciona:
1. Necesito sus datos completos (nombre, dirección, teléfono…);
2. Después voy a ir a la empresa para iniciar la transacción, la compañía le enviará un e-mail con todos los detalles de la transacción;
3. Recibirás los detalles y procederás el proceso de pago del paquete a la empresa;
4. Después de que usted haga el pago usted recibirá el paquete;
5. Recibirás el paquete en 3 días y tendrás tiempo para la inspección 10 días;
Es un servicio como contra rembolso, voy a recibir el dinero sólo después de que usted le dirá a la empresa que todo está bien.
Si es algo malo o simplemente si no te gusta el producto, la empresa le devolverá todo el dinero de vuelta.

Gracias y un saludo

Posteriormente, el «phisher» envió el siguiente correo electrónico con la supuesta empresa de mensajería y fideicomiso:

spam aldo express

 

En este ejemplo, eran descuidados en hechos como la redacción (pasando de tú a usted así como en algunas faltas de ortografía), o en que una empresa de transportes habitualmente dispone de una dirección electrónica corporativa. No obstante, estaba bastante bien realizado el Phishing, por la notificación y cuerpo del correo (imagen superior) y el banner que el mismo contenía, ya que conducía a una web con buenos acabados y que aparentaba ser realmente una empresa de transportes, además el nombre de dominio coincidía con el nombre de la falsa empresa de mensajería. A pesar de todo ello, con un poco de detenimiento y observando atentamente, se podían encontrar bastantes evidencias e indicios para concluir que se trataba de un intento de estafa, tales como falsos banners que no llevaban a ninguna parte, ciertas incongruencias en direcciones de correo para supuestas incidencias de la empresa de transportes en cuestión etc. Posteriormente y tras realizar varias búsquedas en Internet, pudimos corroborar que dicha empresa de mensajería no existía.

Por todo ello, se le comunicó al falso vendedor o «phisher» la intención de optar por otro medio de pago y envío por una empresa más reconocida, a lo que el «phisher» contestó que dicha empresa no era segura, cuando se trataba de una de las empresas más reconocidas a nivel mundial, por lo que finalmente y sin ningún genero de dudas nos encontrábamos ante un caso de Phishing de libro.

Conclusión, en este último supuesto el «phisher» había desarrollado para aparentar mayor seguridad y confianza la imagen falsa de una empresa de mensajería que haría las veces de tercero garante, con el objetivo de trasladar mayor tranquilidad y confianza al usuario, por lo que la ingeniería social de este «phisher» daba un paso más a la hora de tratar de engañar al usuario.

Finalmente, recomendamos a nuestro cliente no realizar ninguna operación al respecto y buscar el producto deseado en otro lugar.

Cabe destacar que en en numerosas ocasiones, tan solo se trata de disponer de cierto sentido común, es decir, que en los casos de compra-ventas o de pagos, por lo general, hay que procurar no adelantar el pago nunca y en caso de hacerlo, siempre llevarlo a cabo, por medio de entidades o terceros con acreditada experiencia y reconocimiento. Estudiar bien quien es verdaderamente la persona o entidad que nos notifica y que nos está solicitando, si verdaderamente es razonable darle dicha información o no y sobre todo pensar en que ocurriría en caso de un mal uso de dicha información. De esta manera, dispondremos de mayor cautela y seremos más precavidos a la hora de actuar.

Para más información sobre Phishing: Cómo evitar ser víctima de un Phishing (INTECO).