Phishing y Vishing

El phishing consiste generalmente en el envio de correos electronicos que suplantan la identidad de alguna empresa o fuente fiable , como por ejemplo una entidad bancaria , con el objetivo de engañar al usuario y obtener datos personales o confidenciales como por ejemplo el numero de cuenta su tarjeta de crédito , claves de acceso etc. Para conseguir esto es necesario que el usuario pulse sobre el enlace que viene en el correo electrónico el cual lo llevara a una pagina falsa , tratando de simular la web original. En la pagina falsa usted puede introducir sus datos de acceso los cuales serán rapidamente llevados al estafador. Para engañar al usuario , el estafador hace todo lo posible por evitar duda alguna acerca de la entidad que esta suplantando. Tenga en cuenta que ninguna entidad bancaria le pedira sus datos confidenciales a través de correo electrónico. Algunas características de estos mensajes son los siguientes:

Uso del nombre de la empresa o compañía: Los estafadores usan los nombres de empresas o compañías ya existentes para confundir mas a los usuarios y que puedan obtener acceso a sus datos confidenciales.

Dirección URL falsa: En el mensaje por lo regular viene una dirección valida del sitio web original , por lo que esta dirección viene acompañada de "https" (la versión segura del protocolo HTTP) , esta dirección hace simular que entrara en una pagina segura. Al pulsar sobre el enlace se puede observar que es redirigido hacia otra dirección diferente y sin el "https". En realidad este es el servidor o el proxy del estafador.

Nombre y correo electrónico existente en la empresa: Esto es cuando el estafador se hace pasar por una dirección de correo electrónico perteneciente a una mepresa o compañia.Si el usuario trata de investigar el remitente del correo electrónico encontrara que si es proveniente de una fuente segura , lo que en realidad pasa es que el estafador también ha suplantado la identidad de correo electrónico de una persona que pertenece a la compañía en si.

Contenido del mensaje: Esta característica es una de las mas importantes para identificar que se trate de un intento de fraude o phishing , por lo regular los mensajes de correo electrónico falsos contienen la imagen de una mepresa importante , una dirección url y el contenido que hace que el usuario responda rapidamente. El contenido puede venir de diversas formas , las mas populares son aquellas que le mencionan al usuario que sus datos son incorrectos y que debe de cambiarlos en un determinado periodo de tiempo como por ejemplo en 48 horas , si no su cuenta sera eliminada etc. O solo iniciar sesión en el sitio para verificar sus datos como motivo de seguridad y un tiempo limitado para hacerlo , lo que provoca preocupación al usuario.

Este correo electrónico me llego a mi , es un intento indiscutible de phishing:

Pharming: Es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.

El estafador envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crédito. Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.

Para que estos mensajes parezcan aun más reales, el estafador suele incluir un vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.

Recuerde que para comprobar si el sitio que utiliza es seguro , su explorador debe de coincidir con la imagen:

Si una voz en su contestador le avisa de que el ha congelado su cuenta y debe llamar a un teléfono , no llame. Si recibe un electrónico que le pide lo mismo, no lo crea. Si le envían un SMS de bienvenida a un que no ha contratado, bórrelo y olvídese. Son las tácticas del fraude más extendido en Internet, el "phishing", que ha saltado del correo electrónico a los teléfonos móviles y la voz sobre IP. El 'vishing', denominado así por la telefonía a través de internet (VoIP, por sus siglas en inglés), consiste en que los timadores se aprovechan de que esta tecnología permite a los suscriptores tener un número que aparece radicado en una ciudad independientemente de estar operando desde cualquier parte del mundo. El mensaje de correo enviado a las víctimas les pedía que hicieran una llamada telefónica local para aclarar un problema sobre su cuenta bancaria.

La víctima que llamaba, escuchaba un mensaje grabado pidiéndole que marcara su número de cuenta, según la empresa de seguridad de internet Websense.