domingo, 21 de junio de 2015

Cómo Detectar Correos Fraudulentos ("Phishing")

¿Qué es el "phishing"? Sin irnos a las definiciones formales, se refiere al envío de un correo electrónico fraudulento que aparentemente viene de alguien o de alguna organización, para crear confianza en quien lo reciba y así decida abrirlo y seguir las indicaciones que ahí se solicitan. Quien lo manda desea normalmente que el usuario abra un archivo adjunto o bien, visite un sitio de internet. 


¿Para qué querría lograrlo? Porque el archivo adjunto es un virus, o porque el sitio es malicioso e intentará comprometer al sistema que lo visite. Una vez infectado el equipo, los objetivos serán de diversa naturaleza como por ejemplo robar información (tal vez de la banca en línea) o secuestrar  los archivos y fotos para pedir "rescate" por ellos si es que se desean de vuelta. 

Cualquiera de nosotros puede ser el receptor de uno de estos correos; de hecho la mayoría se envían indiscriminadamente a miles de cuentas de correo con el objetivo de que un porcentaje (aunque sea pequeño) de los receptores se conviertan en víctimas al infectarse su sistema de cómputo. 

Si bien un antivirus instalado y actualizado podría ser de ayuda al evitar algunas de estas infecciones, su protección para nada es infalible (sobre todo al tratarse de virus hecho en casa: México) y no está de más saber detectarlos para borrarlos y hacer caso omiso de los mismos. A continuación algunas de las características de este tipo de correos fraudulentos tipo "phishing" que nos puede ayudar a detectarlo "manualmente": 

1.- Tienen faltas de ortografía. Por lo general, los atacantes no tienen el cuidado o la disciplina para cuidar su ortografía, por lo que terminan redactando un mensaje con varios errores a lo largo del mismo. Esto contrasta con correos legítimamente enviados por una organización que por lo general están bien escritos. 

2.- No están personalizados. Los correos "phishing", al no ser legítimos, no están personalizados. No conocen mi terminación de la tarjeta de crédito. Tampoco mi RFC o la cuenta de mi recibo de luz o agua. Son mensajes genéricos que aplican a cualquiera, y esa es precisamente la idea.  

3.- Cuentan con argumentos para abrir el archivo adjunto o visitar un sitio web. Los mensajes sostendrán que mi cuenta bancaria tiene un adeudo no reconocido o bien, que la cuenta está a punto de vencer. También pueden apelar a la codicia humana y asegurar que hay un premio o dinero de por medio y que hay más información en el archivo adjunto. O que existe un reporte de crédito que debo de abrir, o bien, que es de importancia vital que visite una liga web porque si no cancelarán mi cuenta del banco o de la propia cuenta de correo, por ejemplo. 

No mencionan un número telefónico a donde pueda llamar porque eso no es lo que desea el atacante. Así es que habrá cien argumentos que intentarán asustar, sorprender o poner en duda al usuario para maximizar las probabilidades de que haga lo que el mensaje desea: abrir un adjunto (con virus) o visitar un sitio web (malicioso). Cabe mencionar que no es raro que los argumentos presentados por el defraudador no tengan sentido o carezcan de congruencia; y no es raro recibir estos mensajes de bancos o instituciones de las cuales ni clientes somos. 

4.- Liga falsa. Ya que estamos hablando de visitar sitios fraudulentos, es importante mencionar un truco muy usado por quien envía "phishing". No está para saberlo, pero cuando uno recibe un correo es probable que lo reciba en cierto formato que permite escribir un sitio web www.revistamasseguridad.com dentro del mensaje, pero que al hacer click sobre él, realmente nos dirija a www.maligno.com

La solución: antes de hacer click, simplemente es importante pasar el puntero del ratón sobre la liga para que se abra una pequeña ventana automáticamente y que revelará el verdadero sitio de la liga. Así es que si la liga dice www.banco.com pero pasando el puntero encima de ella realmente se nos informa que se trata del sitio sospechoso  www.superbowlarknet.com; es suficiente para declarar a un correo como fraudulento. 

5.- Formato, logotipo y colores diferentes a los mensajes legítimos. Los correos fraudulentos pueden tener logotipos de la empresa de donde aparenta venir que se ven "raros", o bien usar colores diferentes a los normalmente usados, imágenes francamente piratas y en un formato que no es el habitual. Quisiera aclarar que en este aspecto varios de los defraudadores han progresado y ya muchos tienen el cuidado de enviar correos que son prácticamente idénticos a los verdaderos, para no levantar sospechas entre la potencial víctima. Por lo tanto no porque el correo se vea legítimo significa que realmente lo es. 

6.- Información personal solicitada. Es posible que el mensaje fraudulento solicite información personal. RFC, contraseñas, nombres de usuario, números de tarjeta de crédito, domicilio u otros datos similares. Sobra decir que instituciones serias no van a requerir este tipo de información sensible vía correo. 

Y ya casi para concluir, ya que he enlistado algunas de las características de este tipo de correos, quisiera agregar que también son usados como una vía de acceso a redes y sistemas corporativos, es decir, para cuestiones todavía más serias de robo de datos empresariales. Esto es porque cuando un usuario dentro de una organización se infecta por seguir las instrucciones del mensaje fraudulento, de ahí lo atacantes comprometen otros sistemas de la corporación hasta llegar a servidores con información crítica. Así es que no solamente son para robar contraseñas de la banca en línea de un usuario en casa. 

¿Finalmente, qué hacer ante la sospecha de un correo tipo "phishing"? Ante la duda, llamar a la organización de donde supuestamente viene el correo para validar la información y lo que se pide. O bien, ingresar al sitio solicitado pero sin hacer click sobre la liga que ofrece el correo, sino uno mismo abrir un navegador y escribir el sitio; al menos así estaremos seguros de estar yendo a la liga legítima. Si estamos bastante seguros de que se trata de un engaño, hacer caso omiso del mensaje e ignorarlo. Y en ningún caso realizar lo que solicita un mensaje y  enviar información personal vía correo.

jueves, 11 de junio de 2015

Listas blancas, imprescindibles en su arsenal de seguridad

Les comparto mi artículo que TechTarget me hizo el favor de publicar. Trata de lo importante que son las listas blancas para la protección contra código malicioso en un corporativo. Herramienta imprescindible.

http://searchdatacenter.techtarget.com/es/opinion/Listas-blancas-imprescindibles-en-su-arsenal-de-seguridad