Hoy arranca la campaña de la Renta y Patrimonio 2021, una ocasión perfecta para que los ciberdelincuentes hagan su agosto. ¿Cómo? Con campañas de correos electrónicos de phishing suplantando al Ministerio de Hacienda que ya han detectado los investigadores de Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies un proveedor líder de soluciones de ciberseguridad a nivel mundial.
El siguiente correo electrónico de phishing (véase la figura a continuación) es un señuelo que imita a la Agencia Tributaria pero que se desde una dirección de correo electrónico falsa (gobierno@hacienda[.]gob[.]es), y contenía el asunto «Comprobante fiscal digital – MINISTERIO DE HACIENDA Y FUCION PUBLICA». El atacante intentaba atraer a la víctima para que hiciera clic en un enlace malicioso (http://carmengloria[.]us/js/) que es conocido como un sitio de phishing que imita a «Hacienda» pero que actualmente está inactivo.
¿Cómo pueden protegerse los usuarios contra estos ciberataques? Eusebio Nieva, director técnico de Check Point Software para España y Portugal, responde y aporta las claves para que protegerse ante los posibles ciberataques que puedan surgir a raíz de la próxima presentación de la Declaración de la Renta 2022:
- ¿Cómo se puede identificar un correo electrónico de phishing?
- ¿Por qué los ciberdelincuentes aprovechan la declaración de la renta para lanzar sus ciberataques?
- ¿Qué consecuencias puede tener caer en esta trampa?
- ¿Qué medidas se deben tomar para protegerse?
¿Qué es el Phishing?
Uno de los tipos más habituales de fraude en línea se conoce como phishing, un término que surgió en la década de 1990. En términos simples, el phishing es un intento deliberado de obtener información confidencial, como credenciales de inicio de sesión o números de tarjetas de crédito, haciéndose pasar por alguien confiable.
Los ataques cibernéticos son habituales en la era moderna, ya que cada empresa y cada persona tiene una razón para estar en línea, e incluso las cantidades abstractas, como los datos, pueden ser valiosas para un hacker. Cuanto más informado esté sobre los tipos más habituales de ataques cibernéticos y estafas, más medidas puede tomar para prevenirlos
Tipos de estafas de phishing
Existen varias maneras en las que se pueden cometer estafas de phishing, entre las cuales se incluyen las siguientes:
- Fabricación de un sitio web. Alguien puede replicar un sitio web que se asemeje a la página de inicio de sesión de una empresa de software existente, pero con una URL un poco diferente. Si se logra engañar a un usuario final, este puede introducir su nombre de usuario y contraseña sin preverlo.
- Suplantación de correo electrónico. Los intentos de phishing también son habituales por correo electrónico. Un hacker puede enviar un mensaje a una persona, simulando ser una figura de autoridad en un sitio web conocido o una institución asociada de confianza, y solicitarle información al destinatario.
- Ingeniería social directa. Otros intentos son más directos y específicos; por ejemplo, una persona puede intentar iniciar una conversación a través de una aplicación de mensajería instantánea.
¿Cómo protegerse contra las estafas de phishing?
Hay varios pasos que puede seguir para proteger su empresa contra las estafas de phishing, que esencialmente pertenecen a una de dos categorías amplias de soluciones.
Primero, existen las soluciones técnicas. Estas son herramientas, aplicaciones y sistemas diseñados para limitar la posibilidad de que una estafa de phishing logre atacar a uno de sus empleados. Por ejemplo, es posible que pueda configurar un filtro de correo electrónico inteligente que sea capaz de detectar el idioma común en un esquema de phishing. También puede detectar URL fraudulentas que intentan imitar las de los sitios web populares y configurar un filtro de URL para garantizar que sus empleados nunca visiten estos sitios por error.
Aquí le recomendamos una buena idea para invertir en una solución contra el phishing.
Dado que los ataques de phishing pueden provenir de muchos puntos de entrada diferentes, sugerimos aprender sobre cada uno para asegurarse de que su organización esté segura:
- SandBlast Agent para la protección de terminales contra ataques de phishing
- SandBlast Mobile para la protección móvil contra ataques de phishing
- SandBlast Network para la protección de red contra ataques de phishing
- CloudGuard SaaS para la protección de correos electrónicos contra ataques de phishing
En segundo lugar, existen soluciones de capacitación para empleados, que probablemente sean aún más importantes. Si sus empleados están informados y capacitados sobre las estafas de phishing, existen menos probabilidades de que logren engañarlos, incluso si reciben un correo electrónico o visitan una página web que sea increíblemente convincente.
Existen muchas precauciones básicas para frustrar la mayoría de los intentos de phishing. En primer lugar, asegúrese de que sus empleados sepan que ningún agente, de ninguna compañía, le pedirá directamente sus credenciales de inicio de sesión. En segundo lugar, adviértales que verifiquen dos veces la URL del sitio que visiten y que busquen cualquier diseño o elemento estructural que pueda parecer “fuera de lugar” cuando visiten una página.
. Leer artículo completo en Frikipandi ¡Alerta los ciberdelincuentes están suplantando al Ministerio de Hacienda! ¿Cómo pueden protegerse los usuarios?.