Es muy posible que recientemente hayáis recibido un correo electrónico de alguna entidad bancaria o de alguna empresa logística solicitando validar vuestros datos (para el caso bancario) o el abono de una cantidad de dinero en concepto de gastos de aduana o reembolso (para el caso de las empresas logísticas). Generalmente esto os hace sospechar y comenzáis a leer en detalle el correo electrónico para descubrir que el texto carece de coherencia lingüística, tiene faltas de ortografía e inmediatamente tenéis la sensación de que está pasando algo raro.
Cuando hacéis click en el enlace que proporciona el correo electrónico, el navegador no os avisa de ningún problema de seguridad y acabáis en una página con los colores y logo corporativos con todo aparentemente legal. En ese momento todo parece normal, hasta que lees que te solicitan introducir tu contraseña y tus datos personales o un pago vía Western Union o una transferencia bancaria a un banco extranjero. En este momento las sospechas aumentan y decides desistir.
Lo que este tipo de atacantes pretende es suplantar la identidad de otra persona o empresa, haciéndonos creer que nos estamos comunicando con alguien diferente a quien realmente es.
A este tipo de prácticas de suplantación de identidad se le denomina comúnmente phishing. Lo que un atacante pretende con el phishing es la suplantación de la identidad de otra persona o empresa con el objetivo de obtener nuestros datos o nuestro dinero.
Una de las campañas de phishing que se ha venido desarrollando en el último mes ha sido la campaña de phishing bancario contra los clientes de ING, Bankia, BBVA y Caja Rural.
El caso de ING es el que estaba mejor elaborado. El usuario recibe un correo electrónico en su bandeja de entrada con el logotipo del banco y la paleta de colores y formato habituales que utiliza la entidad. La redacción es correcta. En el correo se nos solicita que debemos actualizar nuestros datos a través del área de clientes.
Para ello, el atacante incluye en el correo un enlace a una web que simula ser la original, pero se trata de una falsificación. A continuación, se nos solicitan todos los datos que normalmente los clientes de dicha entidad introducen para iniciar sesión, tales como el documento nacional de identidad, la fecha de nacimiento, la clave de acceso, etc. También solicitan una foto de la tarjeta de coordenadas, algo que nunca nos pediría la entidad legítima.
En el caso de ING, se aprecia un gran esfuerzo por parte de los atacantes en intentar convencer al usuario de que se están comunicando con el banco. Muestra de ello es el extraordinario parecido del correo con las comunicaciones legítimas de la entidad.
Sin embargo, por suerte no todos los correos de phishing son tan elaborados. El phishing dirigido a los clientes de Caja Rural podemos observar que ni tiene formato, ni viene de una dirección de correo que pretenda suplantar a la entidad y hasta incluye parte del código HTML visto que se ha omitido por error.
Entonces, ¿qué medidas podemos adoptar para no caer en la trampa? Lo cierto es que basta con seguir estas directrices:
Siguiendo estos consejos, estaremos a salvo de caer en un phishing. Lo más importante es extremar las precauciones. A menudo las campañas de phishing se lanzan de forma masiva, es decir, no nos eligen personalmente por ser objetivos reseñables, por lo que debemos asumir que podemos ser víctimas de un ataque de phishing en cualquier momento.
Si te ha interesado este POST te invitamos a que leas también: