Publicado por mi en www.serviciohelpdesk.com
El término "phising" es un concepto relativamente nuevo, que asocia la idea de que un usuario "pique" al acceder a un sitio web o link, del que cree conocer la identidad; y en realidad se trata de una copia que pedirá datos personales o intentará obtenerlos.
El término "phising" es un concepto relativamente nuevo, que asocia la idea de que un usuario "pique" al acceder a un sitio web o link, del que cree conocer la identidad; y en realidad se trata de una copia que pedirá datos personales o intentará obtenerlos.
Usualmente, esta información es luego utilizada para realizar acciones fraudulentas, como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otras acciones delictivas que pueden efectuarse mediante la utilización de esos datos.
Actualmente el modo de difusión más utilizado por los atacantes para realizar un ataque de “phishing” es el correo electrónico. Estos correos suelen ser muy convincentes, y simulan haber sido enviados por una entidad conocida y confiable, con la cual la persona opera habitualmente, como por ejemplo un banco o una empresa que realice operaciones comerciales por Internet. En el mensaje se alegan diversos motivos, como problemas técnicos o la actualización o revisión de los datos de una cuenta, y a
continuación se le solicita que ingrese a un sitio web para modificar o verificar sus datos personales: nombre completo, DNI, claves de acceso, etc.
Dicha página web es en realidad un sitio falsificado que simula ser el de la organización en cuestión. El diseño de estas páginas web suele ser muy similar, y a veces prácticamente idéntico, al de las páginas web reales de la organización cuya identidad se simula. Asimismo, estos sitios tienen direcciones web que pueden confundir a un usuario desprevenido por su parecido con las direcciones web auténticas. En la mayoría de los casos, el texto del enlace escrito en el correo electrónico es la dirección real del sitio web. Sin embargo, si el usuario hace clic en ese enlace, se lo redirige a una página web falsa, controlada por el atacante.
He creído interesante plantear una serie de medidas, que desde el punto de vista informático, nos guiarán a tener una navegación y uso más responsable en Internet.
• Si recibe un correo electrónico que le pide información personal o financiera, no responda. Si el mensaje lo invita a acceder a un sitio web a través de un enlace incluido en su contenido, no lo haga. Las organizaciones que trabajan seriamente están al tanto de este tipo de fraudes y por consiguiente, no solicitan información por medio del correo electrónico. Tampoco lo contactan telefónicamente, ni mediante mensajes SMS o por fax. Si le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo, o que lo ha contactado, comuníquese directamente utilizando un número telefónico conocido y provisto por la entidad u obtenido a través de medios confiables, como por ejemplo de su último resumen de cuenta. Alternativamente, puede ingresar en la página oficial de la organización, ingresando usted mismo la dirección de Internet correspondiente en el navegador.
• No envíe información personal usando mensajes de correo electrónico o programas de mensajería instantánea tipo Messenger o Gtalk. El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial.
• No acceda desde lugares públicos. En la medida de lo posible, evite ingresar al sitio web de una entidad financiera o de comercio electrónico desde un cyber-café, locutorio u otro lugar público. Los PC's instalados en estos lugares podrían contener software o hardware malicioso destinado a capturar sus datos personales, aparte de que no tenemos ninguna seguridad de que los datos sean eliminados una vez finalicemos el uso de este ordenador.
• Verifique los indicadores de seguridad del sitio web en el cuál ingresará información personal. Si es indispensable realizar un trámite o proveer información personal a una organización por medio de su sitio web, escriba la dirección web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al acceder al sitio web, usted deberá notar que la dirección web comienza con “https://”, donde la “s” indica que la transmisión de información es “segura”. Verifique también que en la parte inferior de su navegador aparezca un candado cerrado (muchos sitios web de las entidades bancarias lo tienen). Haciendo clic sobre ese candado, podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio web al que está accediendo.
• Mantenga actualizado el software de su PC. Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente web y de correo electrónico. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en forma automática.
• Revise sus resúmenes bancarios y de tarjeta de crédito tan pronto los reciba. Si detecta cargos u operaciones no autorizadas, comuníquese de inmediato con la organización emisora.
• No descargue ni abra archivos de fuentes no confiables. Estos archivos pueden tener virus o software malicioso que podrían permitir a un atacante acceder a su computadora y por lo tanto, a toda la información que almacene o introduzca en ésta. Sabemos que este tipo de acciones cada vez se producen menos, pero siempre está bien recordarlo.
Actualmente el modo de difusión más utilizado por los atacantes para realizar un ataque de “phishing” es el correo electrónico. Estos correos suelen ser muy convincentes, y simulan haber sido enviados por una entidad conocida y confiable, con la cual la persona opera habitualmente, como por ejemplo un banco o una empresa que realice operaciones comerciales por Internet. En el mensaje se alegan diversos motivos, como problemas técnicos o la actualización o revisión de los datos de una cuenta, y a
continuación se le solicita que ingrese a un sitio web para modificar o verificar sus datos personales: nombre completo, DNI, claves de acceso, etc.
Dicha página web es en realidad un sitio falsificado que simula ser el de la organización en cuestión. El diseño de estas páginas web suele ser muy similar, y a veces prácticamente idéntico, al de las páginas web reales de la organización cuya identidad se simula. Asimismo, estos sitios tienen direcciones web que pueden confundir a un usuario desprevenido por su parecido con las direcciones web auténticas. En la mayoría de los casos, el texto del enlace escrito en el correo electrónico es la dirección real del sitio web. Sin embargo, si el usuario hace clic en ese enlace, se lo redirige a una página web falsa, controlada por el atacante.
He creído interesante plantear una serie de medidas, que desde el punto de vista informático, nos guiarán a tener una navegación y uso más responsable en Internet.
• Si recibe un correo electrónico que le pide información personal o financiera, no responda. Si el mensaje lo invita a acceder a un sitio web a través de un enlace incluido en su contenido, no lo haga. Las organizaciones que trabajan seriamente están al tanto de este tipo de fraudes y por consiguiente, no solicitan información por medio del correo electrónico. Tampoco lo contactan telefónicamente, ni mediante mensajes SMS o por fax. Si le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo, o que lo ha contactado, comuníquese directamente utilizando un número telefónico conocido y provisto por la entidad u obtenido a través de medios confiables, como por ejemplo de su último resumen de cuenta. Alternativamente, puede ingresar en la página oficial de la organización, ingresando usted mismo la dirección de Internet correspondiente en el navegador.
• No envíe información personal usando mensajes de correo electrónico o programas de mensajería instantánea tipo Messenger o Gtalk. El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial.
• No acceda desde lugares públicos. En la medida de lo posible, evite ingresar al sitio web de una entidad financiera o de comercio electrónico desde un cyber-café, locutorio u otro lugar público. Los PC's instalados en estos lugares podrían contener software o hardware malicioso destinado a capturar sus datos personales, aparte de que no tenemos ninguna seguridad de que los datos sean eliminados una vez finalicemos el uso de este ordenador.
• Verifique los indicadores de seguridad del sitio web en el cuál ingresará información personal. Si es indispensable realizar un trámite o proveer información personal a una organización por medio de su sitio web, escriba la dirección web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al acceder al sitio web, usted deberá notar que la dirección web comienza con “https://”, donde la “s” indica que la transmisión de información es “segura”. Verifique también que en la parte inferior de su navegador aparezca un candado cerrado (muchos sitios web de las entidades bancarias lo tienen). Haciendo clic sobre ese candado, podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio web al que está accediendo.
• Mantenga actualizado el software de su PC. Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente web y de correo electrónico. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en forma automática.
• Revise sus resúmenes bancarios y de tarjeta de crédito tan pronto los reciba. Si detecta cargos u operaciones no autorizadas, comuníquese de inmediato con la organización emisora.
• No descargue ni abra archivos de fuentes no confiables. Estos archivos pueden tener virus o software malicioso que podrían permitir a un atacante acceder a su computadora y por lo tanto, a toda la información que almacene o introduzca en ésta. Sabemos que este tipo de acciones cada vez se producen menos, pero siempre está bien recordarlo.
0 comentaris:
Publicar un comentario