Protégete del phishing

Para muchos de nosotros, la idea de prevenir un ataque cibernético o evitar el malware puede provocar estrés. Después de todo, aunque la mayoría de nosotros ahora vivimos cada vez más en línea, pocos de nosotros tenemos capacitación formal sobre el tema. Pero uno de los tipos de ataques más comunes, phishing,, es fácil de prevenir si sabes qué buscar.

Las estafas de phishing dependen de que sus objetivos entreguen voluntariamente información confidencial (como contraseñas o números de tarjetas de crédito) o instalen malware en su dispositivo. Esto se hace engañando a las personas mediante el uso de mensajes de correo electrónico y sitios web falsos. Por lo general, comienza con un correo electrónico que pretende ser de una fuente confiable y conduce a un sitio web fraudulento diseñado para capturar información personal y valiosa. Una vez que haya entregado su información, parece que es lo de siempre. Sin embargo, al día siguiente puede sorprenderse al descubrir que su cuenta bancaria está vacía. O bien, no puede ingresar a su correo electrónico para informar a sus amigos que, no, no está varado en una isla que necesita su ayuda financiera inmediata.

Para quienes ejecutan la estafa, es una táctica de poco riesgo que se basa en que las personas caigan en un truco simple y entreguen información lucrativa. Pero para cualquiera que sea la víctima, sin duda hay mucho en juego. Aprenda a detectar estas falsificaciones a continuación y protéjase contra las estafas de phishing.

Señales de que puede haber recibido un correo electrónico de phishing

• Dirección sospechosa "de": Los correos electrónicos oficiales sobre contraseñas e información personal se envían desde direcciones de correo electrónico oficiales, no desde cuentas personales. Si el remitente no tiene una dirección de correo electrónico asociada con la empresa, no lo crea. Ne'er Do Wells a menudo crea direcciones de correo electrónico Cerrar a un nombre de empresa, pero no del todo correcto. Por ejemplo, recientemente advertimos a todos sobre los correos electrónicos que supuestamente provenían del Centro para el Control y la Prevención de Enfermedades, pero los correos electrónicos eran de direcciones que terminaban en cdc-gov.org y cdcgov.org, ninguno de los cuales es utilizado por los CDC. Una visita al sitio de los CDC muestra que todas sus direcciones de contacto terminan con cdc.gov.
• Tono extraño: Si algo sobre la forma en que se escribe un correo electrónico parece "fuera de lugar", escuche su instinto. Los saludos genéricos que no usan su nombre, las frases extrañas, los errores ortográficos y una llamada a la acción urgente que parece innecesaria son todos indicios de que el correo electrónico podría no ser auténtico. Recuerde, incluso si no tiene pruebas concretas, siempre puede comunicarse con la empresa a través de un número de teléfono o correo electrónico que haya encontrado en un lugar confiable para asegurarse de que sea real.
• Enlaces a sitios web falsos:. Ese correo electrónico, cuando se hace bien, lo llevará a una URL convincente. Nombrecheck.com puede probar la autenticidad de las URL y tiene una lista de direcciones falsas como ejemplos, como paypal-secure.online en lugar de paypal.com. Algunas estafas más bien diseñadas lo llevarán a una página que es fraudulenta pero que enlaza con páginas legítimas de la compañía. Busque el sitio web usted mismo, no solo haga clic en los enlaces de los correos electrónicos. Y asegúrese de que cualquier URL de un sitio web donde ingrese información confidencial sea legítima.
• Sin firmas digitales: Si tienes la suerte de trabajar con una empresa que firma correos electrónicos con S/MIME, esa firma es prueba de identidad sin siquiera abrir el correo electrónico. Sin embargo, es importante verificar toda la información en los correos electrónicos y si el certificado es real, emitido por CA S/MIME certificado, independientemente.
  
  Si su cliente de correo electrónico es compatible S/MIME (y la mayoría lo hace), es fácil verificar e inspeccionar una firma digital. A continuación, le indicamos cómo hacerlo en Gmail (para otros clientes, consulte la documentación de su proveedor):
  1. Haga clic en el triángulo a la derecha del nombre del remitente para Mostrar detalles.2. La marca de verificación verde y Dirección de correo electrónico verificada mensaje significa que el mensaje ha sido firmado por una firma digital confiable. Para más información, haga clic en Información del remitente enlace. Si el certificado es no con la confianza de Gmail, verá el mensaje The certificate is not trusted. For no firmado correo electrónico, no se mostrará la información del certificado.
  3. Ahora podemos verificar la dirección de correo electrónico del firmante, la CA emisora ​​y el período de validez del certificado.
• No se menciona información de contacto conocida: Si un correo electrónico que le pide que restablezca su contraseña o proporcione información no contiene información adicional que sepa que es una forma de contactar a la empresa u organización, sospeche. Se muy sospechoso. Eche un vistazo a otros correos electrónicos que sabe que provienen de la organización, cartas que recibió por correo o la página de contacto en su sitio web. ¿Ves la misma información en el correo electrónico que acabas de recibir? Incluso si no lo hace, solo use los contactos que conoce para ser confiables.

Señales de que puede estar en un sitio web de phishing

• Verifique la URL: Mire la página donde está enviando su información. Algunas URL falsas se ven falsas directamente. Pero, como se señaló anteriormente, muchas páginas de suplantación de identidad tienen las trampas del negocio legítimo que la falsificación pretende representar. Así que no se tranquilice si puede acceder a la página de inicio de Chase desde la URL; examine cuidadosamente la página en la que se encuentra. ¿Se escribe bien el nombre de la empresa? ¿Es el dominio de nivel superior el mismo que la página principal (.com or .de vs .org or .gov, por ejemplo) y las URL comienzan con el mismo prefijo (p. ej. https://)? Una forma de asegurarse de que va a un sitio real es usar un marcador guardado previamente o buscar el sitio usted mismo con Google después de cerrar y volver a abrir su navegador.
• Ventanas emergentes: Tenga cuidado con los sitios que buscan agresivamente su contraseña a través de ventanas emergentes. Algunas estafas usan ventanas emergentes sobre sitios reales, y lo usan como una forma de ganar su confianza.
• Las cosas no se "sienten" bien: ¡Date un poco de crédito! Somos capaces de captar pequeñas cosas que tal vez ni siquiera se registren en nuestra mente consciente. Los sitios web fraudulentos a menudo tienen un poco de color, fuentes y frases. Sigue a tu corazón si las cosas no se ven bien.
• No lock !: Los navegadores web muestran un bloqueo cerrado para sitios seguros que utilizan Protocolo HTTPS, y los sitios legítimos simplemente no te piden que inicies sesión sin usar HTTPS. Si ve una advertencia o un bloqueo desbloqueado en la barra de herramientas de URL de su navegador, deténgase allí antes de ofrecer información. Sin bloqueo, sin inicio de sesión. Y no ignore las advertencias del navegador, aunque pueda estar tan acostumbrado a ellas que no suenen ninguna alarma interna. No descarte las advertencias y solo acepte sitios web con certificados de confianza para el navegador. Tristemente, una cerradura ya no es una garantía en sí mismo que un sitio es seguro, ya que algunos phishers ahora son lo suficientemente inteligentes como para usar el protocolo HTTPS, pero la falta de HTTPS es una señal segura de que estás en un terreno peligroso y que debes retroceder.

Cómo derrotar a los phishers

• Cierra tu navegador: ¿Sospechoso por alguno de los signos anteriores? Cierre su navegador y comience de nuevo sin seguir los enlaces principales.
• Habilite la autenticación de dos factores (2FA): La autenticación de dos factores simplemente significa que necesita más de una cosa para acceder a su información confidencial. Un ejemplo del mundo real es una tarjeta de cajero automático: para obtener acceso a su cuenta bancaria necesita la tarjeta física y el PIN. La autenticación en línea de dos factores parece un segundo paso después de que se ingresa una contraseña: a veces se trata de un código enviado a otro dispositivo o, a veces, es algo exclusivo del usuario, como una huella digital. El punto es que tener two Las claves necesarias y dispares son mucho más seguras y mucho más difíciles de robar, así que configure 2FA si está disponible en cualquier sitio web en el que inicie sesión regularmente (como el de su banco).
• Verifique los certificados del sitio web: Si bien verificar la seguridad ya no es tan fácil como buscar HTTPS o la “barra verde” que alguna vez fue el estándar para indicar certificados de Validación Extendida (EV), sigue siendo un buen movimiento buscar estos certificados, como hemos explicado previamente. Muchos sitios han optado por utilizar certificados baratos (o gratuitos) de dominio validado (DV) que brindan algunas garantías: usted sabe que su comunicación con el sitio está encriptada. Sin embargo, los certificados DV no brindan la garantía necesaria de que usted sabe quién está operando el sitio web. Hemos establecido cómo encontrar esa información, para cada navegador, aquí.
  
• Manténgase protegido con certificados digitales de SSL.com: A medida que el mundo se conecta más digitalmente y se realizan más "reuniones" en línea, es crucial poder verificar las identidades en línea y evitar estafas como el phishing. SSL.com puede ayudar con:
  • S/MIME, Firma de documentos y certificados de cliente: Combata el phishing directamente con correos electrónicos y documentos firmados digitalmente, para que sus colegas y clientes sepan que ese correo electrónico o PDF es realmente de ti. Los certificados de cliente agregan un factor de autenticación adicional para trabajadores remotos y otros usuarios.
  • SSL /TLS Certificados: Proporcione a sus visitantes y clientes la seguridad de la identidad y seguridad de su sitio web.
  • Certificados de firma de código: Asegure a los clientes que su código descargable proviene de una fuente confiable y no contiene malware.

Finalmente, todos pueden hacer su parte y reportar correos electrónicos de phishing a spam@uce.gov y reportphishing@antiphishing.org, y avisar a las organizaciones que están siendo suplantadas, para que puedan proteger a otros en el futuro.