Miles de cuentas en línea se ven comprometidas todos los días, y los piratas informáticos utilizan múltiples métodos para piratear cuentas y robar información. Uno de los métodos más notorios de robo de información es un ataque de phishing. Los piratas informáticos pueden crear una copia de la página de inicio de sesión de un sitio web legítimo y engañarlo para que inicie sesión en el sitio web utilizando esta página. Una vez que ingrese la información, se enviará al pirata informático en lugar del sitio web original.
El asunto empeora cuando descubres lo fácil que es crear un sitio de phishing y ejecutar el ataque. Es solo una cuestión de copiar el código de un sitio web y fusionarlo con un código malicioso. Cualquier persona con conocimientos técnicos básicos puede ejecutar con éxito un ataque de phishing. En este artículo, le mostraremos cómo reconocer y protegerse contra un ataque de phishing.
Reconocer un ataque de phishing
Hay dos etapas en el proceso de reconocimiento de un ataque de phishing. Puede obtener algunas pistas cuando se le proporciona el enlace de phishing por cualquier medio de comunicación de texto o al encontrar pistas en el sitio web de phishing. A continuación, verá algunas formas prácticas de identificar un ataque de phishing.
Reconocer un correo electrónico de phishing
Los enlaces a sitios de phishing se ofrecen principalmente en correos electrónicos, por lo que vamos a proporcionar instrucciones para identificar un enlace de phishing en un correo electrónico. Sin embargo, muchas de estas instrucciones también funcionan bien para la mayoría de los métodos de comunicación de texto. A continuación se presentan algunas pistas que debe buscar:
1. ID de correo electrónico del remitente
Primero verifique la ID de correo electrónico del remitente, ya que no será la misma que la ID de correo electrónico oficial de la empresa. Como en lugar de «asistencia al cliente@paypal.com», será «asistencia al cliente@paypa1.com». Asegúrese de que la ortografía sea correcta y que coincida con el ID de soporte real de la empresa.
2. Errores de ortografía y gramática
La mayoría de los correos electrónicos fraudulentos y de phishing tienen palabras mal escritas que se cuelan a través de los filtros establecidos por los servicios de correo electrónico. Las palabras mal escritas se agregan principalmente en el asunto del correo electrónico, pero también puede encontrarlas en el cuerpo del correo electrónico. Además, algunas de estas palabras son difíciles de detectar, como «Cliente» escrito como «Costomer», así que verifique minuciosamente. Además, también puede encontrar muchos errores gramaticales, ya que el correo electrónico puede estar escrito por alguien que no habla inglés de forma nativa. Una empresa legítima revisará el correo electrónico varias veces ya que su nombre está en juego.
3. Lenguaje estafador y forzado
El mensaje contendrá principalmente ofertas atractivas y botones para actuar con urgencia. Por ejemplo, “El obsequio de $100 de PayPal vencerá en tres horas; ¡Regístrese ahora usando el siguiente enlace y consígalo antes de que caduque! También se prestará más atención a iniciar sesión con el enlace proporcionado en el correo electrónico para evitar que inicie sesión con la dirección real del sitio web.
4. Adjuntos turbios
Lo último que desea hacer con un correo electrónico sospechoso es hacer clic en el archivo adjunto que lo acompaña. Una empresa legítima nunca le enviará archivos adjuntos a menos que se especifique. Cualquier malware dentro de un archivo adjunto abierto podría robar fácilmente su información si no tiene cuidado.
5. El correo electrónico está en su carpeta de correo no deseado
Si sospechas de un correo electrónico y lo estás buscando en tu carpeta de correo no deseado, ¿por qué te molestas? El filtro está ahí por una razón; simplemente presione el botón Atrás y continúe con su trabajo.
6. Anuncios de phishing
Los enlaces de phishing también se pueden proporcionar en un anuncio que ve en los sitios web (no estoy seguro de cómo se pasa por alto esto). Hace unos años perdí más de $1000 cuando accidentalmente hice clic en un anuncio en la Búsqueda de Google en lugar de en la página de inicio de una empresa de pagos en línea. Así que tenga cuidado al hacer clic en dichos anuncios y siga las instrucciones a continuación para identificar un sitio web de phishing incluso si accede a él.
Nota: trate de evitar hacer clic en un enlace de phishing si es posible, ya que también puede contener ransomeware que podría apoderarse de su sistema.
Reconocer un sitio web de phishing
De acuerdo, ha decidido hacer clic en el enlace y ahora se encuentra en el sitio web. A continuación se presentan algunas formas de confirmar aún más si el sitio web es legítimo o solo un intento de phishing:
1. Verifique la URL
El diseño del sitio web será casi el mismo que el original, por lo que no tiene sentido encontrar una diferencia allí. Sin embargo, no pueden copiar la URL oficial del sitio web, por lo que debe haber alguna diferencia. El nombre del sitio web estará mal escrito, como «www.paypal.com» escrito como «www.paypai.com» o «www.paypol.com». También faltará la conexión «HTTPS». Vea si el «Icono de candado» al comienzo de la barra de direcciones es «Verde» o «Gris». Un sitio web seguro como el sitio web de su banco, el sitio web de pagos en línea o un sitio web de redes sociales siempre tendrá una conexión segura (candado verde).
2. Alerta del navegador
Todos los navegadores populares son buenos para detectar la mayoría de los sitios web de phishing. Si un navegador le da una advertencia, escúchela y retroceda.
3. Evita las ventanas emergentes
Algunos enlaces de phishing pueden dirigirlo al sitio web original, pero una ventana emergente falsa puede aparecer después de un breve retraso solicitando información personal. Si esto sucede, simplemente retrocede.
4. Dar una contraseña incorrecta
Los sitios web de phishing no tienen ningún medio para identificar si una contraseña es correcta o incorrecta. Si proporciona una contraseña incorrecta, lo más probable es que pueda iniciar sesión (o al menos ser redirigido a algo). Sin embargo, los piratas informáticos ya conocen este truco y, a veces, pueden decir simplemente «Contraseña incorrecta», por lo que hará varios intentos y obtendrán todas sus contraseñas conocidas.
Protéjase contra un ataque de phishing
Así que caíste en la trampa y entregaste tu información. No tiene sentido rastrear al pirata informático utilizando la dirección IP que obtuvo; será una pérdida de tiempo (he estado allí, he hecho eso). En su lugar, debe concentrarse en recuperar su cuenta y la información que ha entregado. Si se trataba de una cuenta de pagos en línea o de su cuenta bancaria, llámelos de inmediato y cuénteles sobre la situación.
Lo más probable es que el pirata informático ingrese a su cuenta y cambie la contraseña, así que vaya inmediatamente al sitio web original y use el botón «Olvidar contraseña» para restablecer la contraseña usando su correo electrónico. Servicios populares como Google o Facebook también ofrecen medidas adicionales para combatir tal situación. Realice una búsqueda en línea para ver si puede obtener más ayuda para proteger su cuenta. Una vez dentro, prueba a ver todos los ajustes y opciones de privacidad para ver qué ha cambiado el hacker. Si la cuenta tenía dinero, vea si la transacción se puede revertir de alguna manera (contacte con el soporte); de lo contrario, se ha ido. Una de las mejores protecciones contra los ataques de phishing y otras estafas y hacks es Autenticación de dos factores. Asegúrese de habilitarlo si lo proporciona el sitio web que está utilizando.
Debe tenerse en cuenta que los ataques de phishing no solo se limitan a robar su información. Estos enlaces pueden mostrarle anuncios o descargar malware en su PC para dañarlo o extraer información. Junto con los consejos anteriores, use un buen programa antivirus para protegerse.
Conclusión
Los sitios web de phishing pueden ser un poco difíciles de detectar, especialmente si un pirata informático profesional los ha configurado. La regla general es evitar todos los enlaces que requieran información de cualquier tipo y siempre iniciar sesión en un sitio web ingresando manualmente la dirección del sitio web en la barra de direcciones. ¿Conoces otras formas de identificar un sitio web de phishing? Comparte con nosotros en los comentarios.
Danos tu opinión