domingo, 13 de abril de 2014

La modalidad de “ingeniería social” y las estafas (phishing) en línea

Tomado de US - CERT
Por Mindi McDowell
Traducción Jorge Contreras
¿Cómo nos estafan utilizando la modalidad de ingeniería social?
  • En estos ataques, los delincuentes utilizan la interacción humana (habilidades sociales) para pasar inadvertidos y obtener o poner en peligro la información personal, de una organización, o de los sistemas informáticos.
  • Un atacante se presenta “modesto y respetable”, se identifica como empleado, persona encargado de la reparación, o como investigador, e incluso ofreciendo sus credenciales para sustentar su “identidad oficial”.
  • Al hacernos preguntas, es capaz de recolectar suficiente información para infiltrarse en la red de una organización. Si el atacante es capaz de reunir suficiente información de una persona (fuente), podrá suplantarla y ponerse en contacto con otra persona (otra fuente) de la misma organización y basada en la información de la primera fuente agregar datos para que su información sea más creíble.

¿Cómo se lleva a cabo la estafa en línea (phishing) ?
  • La estafa (phishing) tiliza la modalidad de la ingeniería social. Emplean el correo electrónico o sitios Web maliciosos para solicitar nuestra información personal, aparentan y se hacen pasar por organizaciones dignas de confianza.
  • Por ejemplo: un atacante envía un correo electrónico, aparentando ser de una “empresa seria” encargada de las tarjetas de crédito o de institución financiera que le pide información de su cuenta, por lo común le sugiere que hay un problema. Cuando uno le responde con la información solicitada, lo que está haciendo en realidad es proporcionarle información personal para que puedan utilizarla para obtener acceso a nuestras cuentas.
  • Las estafas (phishing) también pueden aparentar venir de otros tipos de organizaciones, como las organizaciones de beneficencia. Los atacantes a menudo se aprovechan de los acontecimientos actuales y de ciertas épocas del año, com desastres naturales (Por ejemplo: cuando ocurrió el huracán Katrina , el tsunami de Indonesia ), o pedir colaboraciones en epidemias y amenazas para la salud (por ejemplo, la gripe aviar, el H1N1) o con nuestras preocupaciones económicas (por ejemplo, rendiciones de cuentas, estados de cuentas en financieras, estados de tarjetas de debito en centros comerciales, etc), y hasta pueden emplearse en las elecciones políticas y las vacaciones 

¿Cómo evitamos ser víctimas ?
  • Sospeche de toda llamadas telefónica no solicitada, visitas o mensajes de correo electrónico de personas que preguntan por los empleados u otra información interna. Si un individuo desconocido dice ser de una organización legítima , siempre trate de verificar su identidad directamente con la empresa .
  • No proporcione información personal o información acerca de su organización, incluyendo su estructura o redes , a menos que esté seguro de la autoridad de una persona para tener la información .
  • No revele información personal o financiera por correo electrónico , y no responda a un correo electrónico en el que le solicitan obtener información  Esto incluye cualquier enlace que venga adherido a un correo electrónico.
  • No envíe información confidencial a través de Internet, antes debe comprobar la seguridad de los sitios Web.
  • Preste atención a las direcciones de correo y a las URL de los sitios Web. Los correos como los sitios Web maliciosos pueden parecer idénticos a un sitio legítimo, y esto se puede notar.
  • En los correos, no es lo mismo Juan.Perez@.... Que Juan_Perez@ o que  JuanPerez@... o que Juan Perez@hotmail o Juan Perez@gmail, etc.
  • En la URL de un sitio Web este atento a la variación en la ortografía o un dominio diferente (por ejemplo: Musica.Com Vs . Musica.Net).
  • Si no está seguro de si una solicitud de correo electrónico es legítimo, tratar de verificarlo contactando directamente con la compañía.
  • No utilice la información de contacto proporcionada en un sitio Web.
  • Instale y mantenga un programa antivirus, firewalls y filtros de correo electrónico para reducir parte de este tráfico.
  • Aproveche las características anti-estafa (anti-phishing) que ofrece las plataformas de correo electrónico y los navegadores Web.
  • Hoy en día hay tantas estafas en línea que si usted recibe una, podrá encontrar sus referencias a través de una búsqueda en el Google.

¿Qué puede hacer si usted es víctima de estafa?
  • Si usted cree que podría haber revelado información sensible acerca de su organización, debe notificar a las personas apropiadas dentro de la organización , incluidos los administradores de red . Ellos deben estar alertas a cualquier actividad sospechosa o inusual.
  • Si usted cree que sus cuentas financieras pueden verse comprometidos , póngase en contacto con su institución financiera inmediatamente y cierre todas las cuentas que pudieran haber sido comprometidas . Esté atento a los cargos inexplicables en su cuenta.
  • Sustituya todas las contraseñas que podría haber revelado. No utilice la misma contraseña para varios recursos, asegúrese de emplear una contraseña para cada cuenta y cada cierto tiempo cámbiela. No repita el uso de las mismas contraseñas.
  • Esté atento a cualquier signo inusual de robo de identidad .
  • Recuerde que tiene  la posibilidad de denunciar la agresión ante la División de Policía correspondiente.

No hay comentarios:

Publicar un comentario