Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/07/2013
SEAMOS NUESTRO PROPIO CSI (II): Analizando un PHISHING
Todavía son muchos los que confunden el verdadero significado de este término y lo asocian única y exclusivamente al robo de datos de acceso a cuentas bancarias, usuario y contraseña (robo de credenciales bancarias).
Este error generalizado posiblemente sea consecuencia de la manía que tenemos de “anglicanizar” (poner palabros raros) a todo lo que tocamos, sobre todo a lo que se refiere a las nuevas tecnologías.
Otro de los errores, en cuanto al conocido phishing, es el concepto erróneo de que es una actividad encaminada única y exclusivamente al robo de identidad bancaria, al robo de nuestras claves de acceso a la banca online.
Vamos a dejar nuevamente claro el significado de “Phishing” (del inglés pescar). Este término es utilizado para referirse al método utilizado por los ciberdelincuentes para, de forma fraudulenta, obtener información confidencial de su víctima relativa a sus datos personales, claves de acceso, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo, mediante un ataque de phishing el ciberdelincuente obtiene todos los datos posibles para luego ser usados de forma fraudulenta con el fin de suplantar la identidad de la víctima.
El ciberdelincuente, que en este caso es conocido como phisher, utiliza técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza utilizando un correo electrónico, o cualquier otro sistema de mensajería instantánea, redes sociales SMS/MMS, o incluso utilizando llamadas telefónicas.
El fin no es otro que el robo de nuestra información personal
Estas técnicas pretenden potenciar el factor miedo, para inducir y casi obligar a la victima a que aporte los datos personales solicitados. Suelen ir acompañadas de avisos de caducidad los servicios con esa compañía (servicio de Internet, acceso a cualquier servicio, banca online, etc). La víctima contará siempre con un muy corto periodo de tiempo para evitar una reacción contraria a las expectativas del ciberdelincuente, por ello utilizarán mensajes del tipo “su cuenta caducará en 24hs.” o “si no ingresa la información en las próximas horas...” son frecuentemente utilizados en este tipo de campañas.
Leer artículo completo en El blog de Angelucho.