Ciberseguridad para Dummies: detecta correos fraudulentos
Correos fraudulentos
Con estupor escucho noticias respecto a la recepción de correos fraudulentos en los centros sanitarios que llevan un ransomwere (software que se apropia de los ordenadores), cuya apertura puede provocar que el sistema hospitalario puede quedar bloqueado. La estulticia y maldad del ser humano parece no tener límite.
Voy a comentar aquí sobre la figura del phishing, técnica usada por los ciberdelincuentes para el robo de datos personales , cuentas y contraseñas. El phishing se basa en conseguir la suplantación de la identidad de empresas, administración pública, personas, servicios o marcas conocidas, para en base a la confianza en estas, conseguir engañar a la víctima. El objetivo suele ser la obtención de información sensible, mediante la descarga de un malware o la obtención de unas claves. para conseguir dinero mediante su robo o mediante la extorsión.
Los correos fraudulentos son cada vez más sofisticados y caer en la trampa no es difícil. Tratamos de aportar una serie de parámetros o cuestiones a plantearnos antes de abrir un correo. Son las siguientes:
1. ¿Tengo que sospechar de todos los mensajes que recibo?
Aunque el remitente sea aparentemente conocido, o recibas un tentador mensaje de Rusia queriendo conocerte, no debes confiar nunca em correos inesperado o en respuestas sobre cuestiones no solicitadas (facturas, compras, envíos, deudas, …) sobre todo si el correo te anima a clicar en un enlace o archivo. Muy importante esto.
2. ¿Quien te envía el correo?
Los correos suelen llevar en la cabecera de la bandera de entrada el nombre de quien te lo envía y luego la dirección del remitente. Esta última, conocido quien te lo manda, puede pasar desapercibida. ¡¡No lo hagas!!. Debes fijarte siempre en el dominio que usa. Si la entidad que te lo manda es conocida y coincide con su servidor, la posibilidades de fraude bajan. ¡Ojo!, digo bajan, pero no significa que sea garantía absoluta, hay circulando correos electrónicos de Correos de España, harto difícil de diferenciar. Por tanto, por en cuarentena comunicaciones de empresas o instituciones conocidas que provengan de servidores genéricos tipo @gmail, @hotmail, @outlook.
3. ¿Te meten prisa para realizar una acción?.
Una invitación a tomar una decisión rápida e irreflexiva es un mal síntoma. Si añadimos que atendamos a una supuesta confidencialidad o secretismos, …, blanco y en botella.
4. ¿A quién dirigen el correo?.
¿A ti personalmente o a tu dirección de correo?. Las campañas de phising son masivas, no se paran en conocer a quien va dirigido en mensaje y se dirigen a la dirección de correo o utilizan fórmulas genéricas como “Estimado Cliente”, “Amigo”. o simplemente “Buenos días”. Aunque las técnicas evolucionan y cuando se trata del “Fraude del CEO” o del “Fraude de la Factura”, la personalización del destinatario existe porque ha habido un seguimiento previo de la víctima.
5. ¿Está bien escrito el correo?.
Una redacción y ortografía descuidada o una burda traducción de un traductor automático, son señales de alarma.
Frases construidas como se haría en otro idioma. traducciones literales palabra a palabra, errores semánticos, faltas de ortografía, son pistas que nos pueden ayudar a detectar correos fraudulentos. Como en el resto del análisis que estamos realizando, hay estafadores y estafadores, es decir, los hay que van a la masa indiscriminada y otros que se “trabajan” el fraude y hacen redacciones perfectas, por tanto, una pista es pero cualquier texto, bien escrito o mp, es susceptible de llevar parejo un fraude.
6. ¿El correo lleva un enlace?
Comprueba dónde lleva antes de clicar, es decir, comprueba si es legítimo. ¿Cómo?: casa el cursor por encima del enlace SIN clicarlo, así podrías ver la dirección de destino y comprobar si la Url es válida o no. Si la web que aparece en la ventana emergente que te muestra el navegador no corresponde con la que apunta el enlace del correo, ya sabes, fraude seguro.
7- Y a pesar de todo … sigo sin estar seguro
Confirma la autenticidad del remitente mediante otro canal, como por ejemplo por teléfono o investigando en la Web de la empresa que supuestamente te lo envía.