El Phishing es una técnica usada por personas o empresas mal intencionadas que pretenden que por medio de un mensaje engañoso hagas clic en un enlace para que, generalmente, ingreses tus datos personales, de tarjetas de crédito o de cuentas de algún servicio en la Internet. Estos mensajes pueden llegar a los usuarios por correo electrónico; mensajes de texto (SMS); mensajería instantánea por medio de aplicaciones como Whatsapp, Facebook Messenger, entre otros; así como por sitios web que te ofrecen algún tipo de promoción suplantando empresas de gran prestigio.
Según segu-info.com.ar, el phishing es una técnica de ingeniería social utilizada por los delincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima.
Por su parte, La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. El principio que sustenta la ingeniería social es el que en cualquier sistema «los usuarios son el eslabón débil», según Wikipedia.
Primer paso: Identificar direcciones de dominio
Para identificar enlaces maliciosos es importante conocer la estructura de una dirección web (o dominio) para lograr identificar cuando intentan suplantar a un sitio legítimo. Un dominio se compone de varias partes:
Nombre de dominio
El nombre del dominio es la base de cualquier dirección web. Puede ser el nombre de una empresa, pero no puede usar espacios, debe estar todo seguido o separado por guiones (-) y en letras minúsculas, también puede tener números.
Por ejemplo nuestro nombre de dominio es vfxstudios, todo el texto junto. El nombre de dominio de la marca Coca Cola es coca-cola, separado por guión. Mientras el nombre de dominio de Google es google.
Extensión de dominio
La Extensión de Dominio se escribe contigua al Nombre del Dominio, separado por un punto (.). Existen diferentes tipos de extensiones de dominio: Dominios Genéricos de Nivel Superior (Generic Top Level Domain o gTLD), Dominios de Código de País (Code Country Top Level Domain o ccTLD), Dominio de Nivel Superior Patrocinados (Superior Top Level Domain o sTLD), así como los Dominio Cerrados (para uso exclusivo de empresas o entidades de gobierno, como .gov o .mil), Reservados (para especificar la rama comercial de la empresa como .banco, por ejemplo) y Abiertas por Región, como .paris, .london, o servicios especializados como .radio o .hotel).
La Extensión Dominio más utilizada es .com, sin embargo son muy populares las extensiones .net, .edu y .org. También se han popularizado Extensiones de Dominio tipo ccTLD .co (que pertenece a Colombia), .cc y .tv, usados para adaptar un dominio al no encontrar disponible la Extensión de Dominio .com. Otras alternativas para reemplazar el dominio .com son las opciones .online, .store, .zyx, entre otras.
También se pueden encontrar Extensiones de Dominio compuestas como .com.co, .net.mx o .edu.es.
Con esta información ya tenemos el Dominio completo (unión del Nombre de Dominio con su Extensión de Dominio). Así, tenemos dominios como el nuestro, vfxstudios.com.co; el de Coca Cola, coca-cola.com; el de Google, google.com
Prefijos
Quizá hayas notado que muchos sitios utilizan el prefijo www. que significa World Wide Web (Red Mundial), lo que indicaba a que tipo de servicio estabamos accediendo. En la actualidad permanece más por costumbre que por utilidad. Como pueden ver, nuestra dirección web no usa el www, simplemente accedes escribiendo vfxstudios.com.co. Actualmente la mayoría de servidores web redireccionan al dominio correcto bien sea que lo escribas con o sin el www.
Otro prefijo visible en una dirección de dominio es el Protocolo de Transferencia de Hipertextos mejor conocido como http y su variación segura para sitios contransacciones de datos https. Este protocolo siempre irá seguido de los símbolos :// siendo http:// o https://. Si al escribir una dirección web escribes mal la sigla de este protocolo, el sitio web no cargará. Lo mejor en este caso es escribir sólo la dirección del dominio.
Subdominio
Los sitios web pueden manejar subdominios para separar la web principal de otros servicios que ofrezca. Por ejemplo, una empresa puede tener su blog y servicio de email en subdominios. La dirección web de un subdominio se compone del Nombre del Subdominio y la Dirección del dominio, separados por punto (.): subdominio.nombre.extensión
Así, a manera de ejemplo, de tener nuestro blog en un subdominio podría ser así: blog.vfxstudios.com.co, la dirección completa en el navegador se vería así: https://blog.vfxstudios.com.co
De esta manera podemos identificar diversos servicios alojados en subdominios. Por ejemplo Google Play Store: play.google.com; Google Plus: plus.google.com; Gmail de Google: mail.google.com
Subpáginas
Las subpáginas de un sitio web son todas aquellas que van después de la Dirección del Dominio, antecedido por un slash (/), así: vfxstudios.com.co/blog; coca-cola.com/global
Estás subpáginas se pueden extender después de diferentes nombres de página seguidos por slash (/): vfxstudios.com.co/diseno-grafico/branding
Segundo paso: identificar direcciones maliciosas
Una dirección maliciosa intenta suplantar una dirección real haciendo uso de diferentes combinaciones de palabras en las Direcciones de Dominio, llegando a usted por redes sociales, correos electrónicos, mensajes de textos o por mensajes de aplicaciones como Whatsapp.
En este ejemplo, tratan de suplantar a Coca Cola. Separemos la dirección que ofrecen en los componentes que vimos en el paso 1:
Prefijo: http://
Subdominio: cocacola.
Nombre de Dominio: com-bonus
Extensión de Dominio: .pro
La dirección de dominio es com-bonus.pro. El subdominio es cocacola. La dirección más subdominio es cocacola.com-bonus.pro. De esta manera, cualquier persona que no conozca esta información fácilmente leerá cocacola.com y caerá en la trampa, ingresará en el sitio web malicioso y probablemente deje algunos datos personales, de ingreso a cuentas privadas o incluso de cuentas bancarias o tarjetas de crédito.
Identificar direcciones maliciosas en un email
Los correos en ocasiones ocultan parcialmente la dirección de correo del remitente del mismo, se debe hacer clic en ella para poder visualizar toda la información. Sin embargo, desde la bandeja de entrada ya te están engañando para ingresar y seguir sus enlaces maliciosos:
En la imagen se aprecia una captura de pantalla del correo de Yahoo (puede pasar con cualquier proveedor: gmail, hotmail, o propio de su empresa), en ella se aprecian dos correos, ambos parecen de PayPal, pero un sitio tan reconocido tiene su propio ícono para ser identificado (el email en la parte superior) y un correo que intenta suplantarlo dejando como asunto PayPal.
El correo malicioso dice «Tu cuenta ha sido limitada hasta que sepamos de ti» (Your account has been limited until we hear from you), y continúa «Necesitamos tu ayuda resolviendo un problema. PayPal. Querido cliente, necesitamos tu ayuda…» (We need your help, resolving an issue. PayPal. Dear Client, We need your help…».
En este caso, cualquier persona con una cuenta de PayPal reaccionará e ingresará para leer el correo. Hasta ahí, por ahora no existe ningún peligro. Una vez dentro de el correo corres el riesgo de caer en la trampa.
Como puedes observar, al ingresar al correo cualquier persona puede continuar creyendo que es un correo legítimo de PayPal. Como expliqué anteriormente, no puedo ver directamente la dirección de correo del remitente, para verificar que sea enviada desde PayPal (paypal.com en este caso), comprobando que el correo sea @paypal.com.
Al hacer clic para ver la dirección del remitente se puede observar claramente que no es un correo de PayPal. El dominio desde el que se ha enviado este correo es @wv.oy. Clara evidencia que es un correo malicioso que intenta suplantar a PayPal en este caso.
El cuerpo del correo nos habla del problema por «actividad inusual en la cuenta». Al final nos da un enlace diciendo «Para ayudarnos con esto y para saber qué puede y qué no puede hacer con su cuenta hasta que el problema sea resuelto, ingrese en su cuenta y vaya al Centro de Soluciones:
Centro de Soluciones«.
Aquí es donde su información está en un riesgo inminente. Si ingresa en ese enlace, muy probablemente tendrán una página idéntica a la página oficial de PayPal, donde usted ingresará sus datos, ofreciendo esa información a los delincuentes que posteriormente tomarán posesión de su cuenta. Esta información puede ser de su cuenta de correo, de Facebook, Instagram, Twitter, bancaria…
Así se ve un correo oficial de PayPal:
Con su logo oficial y la dirección de correo con el dominio oficial (@paypal.com).
También puede recibir correos donde se ha ganado una lotería que nunca jugó, puede que le digan que su banco perdió sus datos y necesita la información de sus tarjetas de crédito, la notificación de que un multimillonario está regalando su fortuna, o quizá algún principe de un país africano lo ha contactado porque no tiene herederos para su reino… Tal vez también deba ingresar a algún enlace recibido en por una cadena de mensajes en la que le dan una cuenta vitalicia para Whatsapp o culaquier otro servicio…
Paso Tres: Reportar el sitio o el correo mailicioso
Para ayudar a disminuir los sitios maliciosos es importante que sean reportados. Para ello Google ha dispuesto una página en la que puede hacer el reporte llamada Safe Browsing (Navegación segura), para denunciar páginas que hagan Phishing.
En el caso de algún servicio especializado o una página empresarial, se puede también buscar si ellos tienen algún sitio habilitado para reportar estos casos. Para el ejemplo, PayPal tiene el correo spoof@paypal.com y una página donde describen como identificar actividad sospechosa en sus servicios.
Volviendo al ejercicio, pueden verificar que la dirección de Google tienen el subdominio safebrowsing y el dominio google.com, y el enlace a PayPal tiene el dominio paypal.com.
Recuerda que en cualquier sitio puedes ser victima de Phishing, por lo que siempre debes estar muy atento.
MÁS EJEMPLOS:
INTENTO DE SUPLANTACIÓN A AMAZON:
Así es como se ve el correo en la bandeja de entrada:
¿Una alerta de Amazon? ¿Qué pasó con mi cuenta!!!?
Al ingresar a ese correo hay varios detalles que se deben tener en cuenta:
Lo primero, antes de dar un clic en botones o descargar archivos, es verificar el correo desde donde es enviado este mensaje. Como se observa, el correo es de un dominio diferente de Amazon… Y el correo al que va dirigido no es ni siquiera el mío, en este caso.
Pero aún hay más…
Con solo posar el cursor sobre el enlace (sin dar un clic, por favor no oprimas el botón de tu ratón!!!), verás que en la parte inferior de la pantalla aparece la dirección hacia donde te quiere dirigir el botón. Adivina qué, no es la dirección de Amazon… Y no conformes con que te veas tentado a dar un clic en el botón, te adjuntan un PDF que muy probablemente traiga código malicioso que se ejecutará cuando intentes abrirlo…
Recuerda que estos correos los puedes denunciar en: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=es solo es cuestión de tomar la dirección del dominio y realizar el reporte.
Finalmente, así es como luce un correo real de Amazon, que incluso sabe mi nombre y lo usa para personalizar el correo. Y cada botón o enlace, siempre mostrará la URL de amazon, amazon.com:
En verde, mi nombre en Amazon; en azul, la dirección del correo que envía (por supuesto con el dominio de amazon); y en rojo, la URL a la que me dirigirá el botón al dar clic, obvio, con el dominio de Amazon. Sin embargo, no te confíes, siempre revisa la ortografía, la extensión de dominio y cualquier aspecto sospechoso, pues es posible comprar dominios como amazon.com.co, amazon.cc, amazzon.com, ammazon.com, amazon.co o cualquier otro que pueda lograr engañarte…
467 Vistas
![[Caso de Estudio] Imágen Corporativa](https://vfxstudios.com.co/wp-content/uploads/cache/images/2024/12/Innovatec/Innovatec-2925511042.jpg)
