Este artículo viene desde: Formas de operar del phishing
Un ejemplo de phishing teléfonico y por e-mail
Una persona supuestamente de una compañía de encuestas llama a nuestro teléfono, entre las preguntas que nos realiza es si trabajamos, en que empresa o de qué rubro, si utilizamos servicio de tarjeta de crédito para nuestras compras, nuestro nombre, el banco con el cual operamos. Podría ser una encuesta sobre qué tarjetas de crédito son mas utilizadas por ejemplo.
Con un poco de habilidad, el estafador puede "camuflar" estas preguntas mientras habla con nosotros, y obtener nuestro nombre y el banco con el cual operamos. Hasta aquí parecieran datos aislados.
Luego el phisher (el estafador) confecciona un "Fake Mail" donde utiliza como remitente una dirección del banco con el cual operamos, la cual obtiene de la página del propio banco. Cabe aclarar que la técnica de "Fake Mailer" permite crear remitentes con direcciones tanto existente como no, o una combinación, es decir, se toma un dominio existente, como ser nombredelbanco.com y se agrega un usuario inexistente, de esta manera el phisher arma una dirección del siguiente tipo: [email protected].
Con esto ya el phisher construye un e-mail donde el remitente será, en apariencia, el banco.
Luego el estafador pasará a construir un sitio web que contendrá un logo y un diseño similar al del sitio web oficial del banco.
Con el remitente y las páginas web falsas, el phisher envía el e-mail, donde supuestamente es un empleado del banco que por motivos de seguridad, o validación de datos, nos invitará a que naveguemos hacia el link que él colocó en el e-mail y que obviamente nos llevará a la falsa página web.
Una vez que hacemos clic en el link que nos envía el estafador, se nos pedirá que coloquemos nuestra identificación dentro del banco, nuestra contraseña de operaciones en internet, en cajero automático, etc.
Ya con estos datos el phisher podrá comprar por Internet con nuestra tarjeta, realizar transferencias bancarias desde nuestra cuenta y, en el caso de los bancos que brindan el servicio de poder extraer dinero del cajero automático sin utilizar tarjeta, también podrá extraer nuestro dinero a través de este medio.
Aunque no lo parezca, cuesta darse cuenta que a uno le están realizando phishing, esto es principalmente porque por medio de la “Ingeniería Social” nos preguntan datos que aparentemente son inofensivos o sueltos, pero que luego el phisher sabrá relacionar para realizar su estafa.
Spamming y phishing
Muchas veces no es necesario que los phisers pregunten algún dato a través del teléfono, de hecho, ni siquiera podrían saber quiénes caerán en su trampa, pues juntan las técnicas de spamming con las de phishing.
Un phiser puede enviar un e-mail genérico de una entidad financiera a millones de personas (como un spam), esperando que haya cientos o miles de clientes de esa entidad dentro de las cuentas de e-mail afectadas. Con un par de personas que caigan en la trampa podrían obtener mucho dinero.
¿Cómo protegerse del phishing?
Usted puede contar con antivirus, antiespías y anti-phishing (incluidos actualmente en la mayoría de los grandes navegadores web como Internet Explorer, Opera y Firefox), pero la mejor manera de defenderse es: no brindando información por ningún medio, sea telefónico, personal o e-mail, y solo operar con esta información en las páginas oficiales de las entidades, revisar la dirección del navegador para detectar si se nos ha desviado hacia una dirección extraña, verificar el símbolo de zona segura al navegar por este tipo de páginas.
Si ingresa a si entidad financiera, nunca ingrese a través de un e-mail, sino escribiendo usted mismo la dirección URL correcta.
