En los últimos días está circulando un intento de phishing con la marca Orange. El email se envía desde una dirección «Equipo Orange.es» haciendo referencia a una factura doblemente pagada y pidiendo confirmar una solicitud de reembolso.
Índice
Como puedes comprobar en la imagen, la dirección real no tiene nada que ver con Orange y el enlace incluido no es realmente el del área de clientes de Orange.
Uso fraudulento de las marcas
Este intento de fraude ya se ha realizado utilizando la marca de otras empresas. Aprovechando la confianza que depositan en empresas como Orange los consumidores, los ciberdelincuentes intentan obtener importantes datos personales, concretamente las credenciales bancarias. Si has sido víctima de esta estafa y has introducido algún dato bancario, debes informar urgentemente a tu sucursal bancaria e interponer una denuncia policial.
Desde Panda Security alertan de los sectores en los que está más presente el phishing, y suele coincidir con aquellos que hay servicios que casi consideramos imprescindibles hoy en día, y por tanto hay más usuarios a los que tratar de engañar.
Los servicios asociados a tecnología, correo electrónico, almacenamiento en la nube o soluciones de ofimática online son los más presentes en el “Top” de afectados por phishing.
Según leemos en la web de esta reconocida empresa de ciberseguridad, la mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico incluye enlaces a un sitio web preparado por los criminales -que imita al de la empresa legítima- y en el que se invita a la víctima a introducir sus datos personales.
Además los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.
Existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers. De hecho, si bien el e-mail continúa siendo el medio más utilizado por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación además: son frecuentes los intentos vía SMS (smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales.
Del phising al smishing
Desde el inicio de la pandemia, se puede decir que el phishing por correo electrónico ha sido la vía de ciberataque más habitual. Durante este año, los internautas han sufrido innumerables campañas de email destinadas a engañarlos. En algunos casos, se ha intentado suplantar hasta a la Organización Mundial de la Salud o al Ministerio de Sanidad.
Pero el correo electrónico no está siendo la única vía de entrada de los ciberdelincuentes que recurren a la suplantación de identidad y al engaño. De acuerdo con la compañía de ciberseguridad Sophos, en los últimos meses están aumentando los ataques masivos basados en SMS fraudulentos. Esta práctica se denomina smishing, una palabra que tiene su origen en la combinación de los términos SMS y phishing.
Como advierten desde Sophos, lo que hace tan peligroso este tipo de ciberataques es la falta de costumbre y prevención por parte de los usuarios. El SMS cada vez se usa menos y por eso es una vía de comunicación que ha quedado anticuada. Casi siempre para recibir avisos de citas médicas o confirmaciones de movimientos bancarios. O también como vía adicional para validar una transferencia o una compra por internet. Lo que se llama autentificación de doble factor.
En la mente de los usuarios, los SMS continúan siendo considerados envíos legítimos. Esta confianza en los mensajes cortos es lo que está llevando a los ciberdelincuentes a ampliar por esta vía su repertorio de ataques.
Consejos para evitar el phising
Para evitar ser víctima de esta práctica delictiva, Softonic ha elaborado una guía rápida y una infografía para ayudar a prevenir los casos de estafa en Internet. Algunas recomendaciones serían:
- Verifica la cuenta. Si el nombre o la dirección del destinatario son sospechosos, ya tenemos la primera prueba de phising.
- Comprueba la URL. La mejor forma de asegurarse es pasar el ratón por encima del hipertexto para ver la URL y si esta tiene algo que ver con la empresa que manda el email.
- Faltas de ortografía, saludos estándar y ausencia de contactos. Estos tres puntos suelen ser habituales en los correos estafa. Frases como “estimado clite” o “vuenos días” no son buena señal.
- El factor amenaza. Otra táctica común en casos de phishing es la de intentar poner nervioso al destinatario. Por eso, es frecuente encontrar amenazas como “si no contesta a este correo bloquearemos su cuenta en 3 días” o “¡Han intentado acceder a tu perfil personal!”
- Nadie te va a pedir tu contraseña. Tu banco no te va a pedir nunca tu número de cuenta ni tu red social favorita te va a solicitar tu contraseña de acceso.
- Utilizar el sentido común. Siempre es importante, pero en estos casos más. Si algo te huele raro, no se pierde nada por tratar de contactar con la empresa que supuestamente envía el email para asegurarse.
