La pelea contra el phishing: 44 formas de protegerse

Es una estafa que genera miles de millones de dolares a√ļn cuando el 5 por ciento de los dardos den en el blanco, amenaza la integridad de las transacciones en Internet entre clientes y las empresas con negocios en linea. Es un constante juego del gato y el rat√≥n entre los perpetradores y los muchachos de seguridad pis√°ndoles los talones –¬†phishing,¬†carding, falsificaci√≥n de marca, falsificaci√≥n de web – ll√°melo como quiera, no se escapa del hecho que la amenaza de esta estafa se est√° poniendo cada d√≠a m√°s peligrosa.

Los delincuentes tienen a su disposici√≥n un arsenal de armamentoenlaces aparentemente inocuos incluidos en los correos que redirigen a sitios falsos, ventanas emergentes que lo alientan a ingresar informaci√≥n sensible, direcciones URL que ocultan la direcci√≥n real de la web que aparecer√°, registradores de teclado que acechan esperando capturar sus usuarios y contrase√Īas apenas los tipee. No necesita ser necesariamente un conocedor t√©cnico para protegerse de los ataque de phishing, es suficiente con mantenerse atento, estar m√°s o menos al tanto que no todos los sitios en Internet son algo genuino, y seguir uno o una combinaci√≥n de los siguientes 44 consejos:


Simple, pero efectivo …

1. Nunca conf√≠e en extra√Īos: Las mismas reglas que nos ense√Īaron cuando eramos ni√Īos entran en juego aqu√≠, NO abra correos de gente que no conoce. Fije su filtro de correo basura y spam para que le entregue solo contenido de aquellos que figuran en su libreta de direcciones.

2. Eluda los enlaces: ¬ŅQu√© sucede si su filtro de spam es enga√Īado para que le entregue correo basura en su bandeja de entrada y usted lo abre? Simple – NUNCA haga clic en los enlaces de su correo.

3. Proteja su privacidad: Sucedi√≥ que su rat√≥n se movi√≥ sobre el enlace y quien lo iba a decir, es llevado a otro sitio web que le pide que ingrese informaci√≥n sensible como nombres de usuario, n√ļmeros de cuenta, contrase√Īas y n√ļmeros de tarjeta de cr√©dito y de seguro social. Solo esto: NO LO HAGA.

4. No tema: Generalmente estos sitios web falsos vienen con amenazas o advertencias que su cuenta est√° en peligro de ser desactivada si no confirma su informaci√≥n de usuario, o que la agencia de impuestos le va a hacer una visita si no cumple con lo que se dice en esa p√°gina. Sencillamente IGN√ďRELOS.

5. Levante el teléfono y llame: Si tiene dudas que se podría tratar de algo legítimo, y que su banco realmente le está pidiendo que revele información sensible por Internet, LLAME a su representante de cuenta antes de hace algo imprudente.

6. Use el teclado, no el rat√≥n: ESCRIBA las direcciones URL en lugar de hacer clic en enlaces para sitios de compras¬†online y sitios de bancos que t√≠picamente le pide el n√ļmero de tarjeta y el n√ļmero de cuenta.

7. Busque el candado: Los sitios válidos que usan cifrado para transferencia segura de información se caracterizan por el candado en la parte inferior derecha del navegador, NO en la página web. También tienen la dirección que comienza con https:// en lugar del usual http://

8. Descubra la diferencia: A veces la sola presencia del candado es suficiente prueba de que el sitio es auténtico. Para verificar su autenticidad, haga doble clic en el candado y le mostrará el certificado de seguridad del sitio, y VERIFIQUE que el nombre del certificado y la barra de dirección coincidan. Si no es así está en un sitio problemático, así que salga de allí.

9. La segunda vez bien: Si le preocupa haber llegado a un sitio de phishing que se hace pasar por la p√°gina de su banco, a veces la mejor forma de verificarlo es ingresar una contrase√Īa INCORRECTA. El sitio falso la aceptar√°, y usualmente ser√° redirigido a una p√°gina que dice que est√°n teniendo dificultades t√©cnicas, si podr√≠a intentar m√°s tarde. Su sitio bancario real sencillamente no le permitir√° ingresar.

10. Una contrase√Īa diferente aqu√≠: Use contrase√Īas DIFERENTES en sitios diferentes; se que es algo duro de pedir en estos d√≠as donde la mayor√≠a de las tareas mentales se las pasamos a la tecnolog√≠a, pero es una buena forma de impedir que los¬†phishers consigan sus transacciones sensibles, incluso si ya consiguieron comprometer una.

11. Mantenga abierto sus ojos: Un correo spam est√° lleno de errores gramaticales, generalmente no est√° personalizado, y contiene o bien un enlace o un archivo adjunto sospechoso. RECON√ďZCALO e inf√≥rmelo como spam.

12. Lo que se tiene no se aprecia: ¬ŅNo est√° seguro de poder identificar el correo de un phisher cuando lo recibe? Bueno, MIRE,¬†estos,¬†estos y¬†estos) y sabr√° como son en general. Tarde o temprano aprender√° a identificar los falsos.

13. La codicia no paga: NUNCA se deje atrapar por ofrecimientos de dinero para participar en encuestas que le piden información sensible. Puede que obtenga los $20 prometidos, pero también es altamente probable que encuentre que le vaciaron la cuenta.

14. No se vaya: No deje SOLA su computadora cuando está operando con su cuenta bancaria o cuando ha ingresado su información de tarjeta de crédito en un sitio de compras.

15. Cerrar la sesi√≥n apropiadamente cuenta: Cuando termine con sus cosas, CIERRE APROPIADAMENTE la sesi√≥n en lugar de¬† solo cerrar la ventana del navegador, especialmente si est√° en una terminal p√ļblica.

16. Nunca puede ser demasiado prudente: INGRESE a su cuenta bancaria en forma regular y controle su dinero. No querrá levantarse un buen día y encontrar que un phisher ha estado vaciándole algunos cientos de dolares de vez en cuando.

17. Un poco de conocimiento no es peligroso: Mant√©ngase actualizado con las¬†√ļltimas noticias e INFORMACI√ďN sobre¬†phishing.

18. Evidencia concluyente: Sea muy cuidadoso cuando deshecha computadoras viejas y disco rígidos. Se suele encontrar en computadoras recicladas que retienen información confidencial correspondiente a cuentas de banca electrónica. Use un software para BORRAR y sobre-escribir la información de su disco para asegurarse que no sea recuperable.

Para negocios como de costumbre …

19. Lo conozco, ¬Ņo no? Cu√≠dese del¬†SPEAR PHISHING ‚Äď cuando su cuenta corporativa es comprometida y correos que solicitan informaci√≥n privada viene seg√ļn dicen de sus colegas o de sus superiores, es mejor llamar a la persona en cuesti√≥n y verificar la autenticidad del mensaje de correo.

20. Examine los registros: Como miembro de una organización empresarial, hay mucho que puede hacer para impedir que los phishers pongan en peligro la seguridad de su empresa. Instale firewalls y tenga su sistema anti-virus a punto. MONITOREE regularmente los registros de sus servidores DNS, proxy, firewalls y otros sistemas de detección de intrusos para verificar si ha sido infectado.

21. La pol√≠tica es la mejor pol√≠tica: Establezca POL√ćTICAS estrictas para la creaci√≥n de contrase√Īas en sus clientes, servidores y¬†routers, y aseg√ļrese que el personal las sigue diligentemente.

22. Sin intrusiones: Establecer la detección de intrusos y sistemas de prevención que protejan el contenido de su red e impidan el envío y recepción de correos phishing. Proteja su GATEWAY con herramientas anti-phishing y anti-virus, y con firewalls.

23. Vigile la compa√Ī√≠a que mantiene: Mantenga una lista de los DISPOSITIVOS aprobados que est√° habilitados para conectarse a la red de su compa√Ī√≠a.

Ponga a la tecnología de su lado…

24. Es una cuesti√≥n de confianza: Una pregunta importante es, ¬Ņpuede confiar en que el certificado de ese sitio es aut√©ntico?¬†VeriSign fue culpable de¬†emitir certificados de seguridad a sitios que afirmaban ser parte de Microsoft, no hace mucho tiempo atr√°s. Las √ļltimas versiones de los navegadores, IE7 y Opera 9 pronto podr√°n darle a los usuarios con EV SSL (SSL de Validaci√≥n Extendida) certificados que les aseguran estar en un sitio genuino. La barra de direcci√≥n muestra en verde para los sitios buenos y en rojo para los dudosos.

25. De los phishers con codicia: Los correos electr√≥nicos tambi√©n pueden ser¬†falsos. La √ļnica forma de saber que no, es usar clientes que soporte las firmas digitales¬†S/MIME. Primero verifique que la direcci√≥n del remitente es la correcta y despu√©s vea la¬†firma digital. Esta es una t√°ctica anti-phishing muy efectiva ya que la firma es generada por el cliente despu√©s que el se ha abierto y autenticado el correo, y porque est√° basada en t√©cnicas criptogr√°ficas robustas.

26. Mantengase al d√≠a o sino: Aseg√ļrese que su sistema operativo y navegadores se ACTUALICEN regularmente. Verifique que los √ļltimos parches se apliquen de inmediato.

27. Construya esa valla: PROTEJA su computadora con software anti-virus y anti-spam efectivo, y configure el firewall para mantener a raya esos furtivos troyanos. Son capaces de la peor clase de phishing – instalar subrepticiamente software de registro de teclado en su sistema que captura todo lo que escribe y lo env√≠a a los pillos en alg√ļn lugar desconocido. Lo que es peor a√ļn es que la infecci√≥n se propaga de su PC a otros sistemas de su red, hasta que todas las computadoras quedan comprometidas.

28. Dos es mejor que uno: Use¬†doble factor de autenticaci√≥n para registrarse en sitios confidenciales. La COMBINACI√ďN de un¬†token de software tal como una contrase√Īa y un dispositivo de hardware como una tarjeta de cajero autom√°tico hacen doblemente dif√≠cil de quebrantar el ingreso a una cuenta con solo uno o ninguno de los dos factores de verificaci√≥n.

29. Paso a paso: Es m√°s dif√≠cil para los phishers poder conseguir su contrase√Īa si uno divide su proceso de ingreso en dos fases – ingresando su ID de usuario en la primera y las dem√°s credenciales en la segunda. El proceso es aun m√°s seguro cuando ingresa los detalles de identificaci√≥n en las segunda fase solo si la ventana de ingreso est√° personalizada de alguna manera, por ejemplo, si una imagen expl√≠citamente seleccionada por uno es mostrada.

30. No solo un token: Considere usar un ID Vault USB TOKEN que cifra todos sus usuarios y contrase√Īas y los almacena en un dispositivo de memoria flash, que puede ser usado para ingresar de forma segura en los sitios web. La mayor√≠a de los token vienen con una lista de sitios leg√≠timos y tambi√©n impiden que el software de grabaci√≥n de teclado pueda funcionar efectivamente. El dispositivo en si mismo est√° protegido por contrase√Īa de modo que los ladrones tienen una capa adicional de cifrado por superar.

31. Hash para confundir: Los agregados de software se est√°n uniendo en la lucha contra el phishing, un ejemplo es el PwdHash, o la herramienta¬†password HASH desarrollada por dos profesores de Stanford que cifra cualquier contrase√Īa que uno escriba, y crea un ingreso √ļnico para cada sitio que uno visite. Incluso si los¬†phishers consiguen la contrase√Īa, es la equivocada.

32. Esp√≠o, no hay esp√≠as: Otra aplicaci√≥n desarrollada siguiendo la linea de PwdHash, y creada tambi√©n por los mismos dos profesores de Stanford, la herramienta SPYBLOCK que impide que los programas Troyano de registraci√≥n de teclado puedan robar sus contrase√Īas.

33. Extendiendo la protecci√≥n: Las extensiones de navegadores como Antiphish usado como plug-in por Firefox ofrece protecci√≥n contra los ataques de¬†phishing manteniendo LISTAS de contrase√Īas y otra informaci√≥n sensible, y emitiendo advertencias cuando los usuarios escriben esa informaci√≥n en sitios de¬†phishing.

34. Políticas marco: Los bancos y casas con negocios en linea hacen bien en usar el estándar abierto SPF (Sender Policy Framework) que impide que las direcciones de correo sean falsificadas y sólo enviadas a servidores a los cuales les son permitidos enviar correo.

35. Consiguiendo confianza: Como alternativa, podrían usar un SERVICIO DE CONFIANZA comoGeoTrust’s True Site que le permite a los clientes verificar la autenticidad de un sitio web.

Posible protección contra el phishing…

36. Enviar se√Īales positivas: Las nuevas tecnolog√≠as como el¬†Sender ID Framework (SIDF) se est√°n uniendo en la lucha contra los sitios falsos mediante la verificaci√≥n del origen de cada correo. En proyecto de Microsoft y CipherTrust.

37. Sin restringir la confianza: TrustBars, el cual es componente de navegadores seguro y a prueba de manipulación, permite la VISUALIZCION de la información relacionada a los sitios. Los usuarios son alertados mediante advertencias visibles cuando hay una discrepancia en la barra de visualización.

38. Disminuya la velocidad de esos ataques: Otra t√©cnica, la Divulgaci√≥n Retrasada de Contrase√Īa¬†Delayed Password Disclosure (DPD), las protestas contra las ventanas emergentes que piden detalles sensibles (acertadamente denominados ataques¬†doppelganger window o de ventana doble) funcionan contra los ataque de¬†phishing cuando los usuarios ingresan contrase√Īas letra por letra, una despu√©s de otra solo despu√©s que es reconocida la imagen.

39. Prueba positiva: Los sitios web que quieren probar que son auténticos puede usar extensiones HTML denominadas PROOFLETS para mejorar el contenidos del servidor. Estos son verificados por el navegador mediante el uso de servicios web especiales.

Enfoques alternativos…

40. Movilidad en estafas: A medida que los consumidores van entendiendo sobre las estafas que reciben, los¬†phishers se est√°n moviendo a nuevos medios para lanzar sus estafas. Los tel√©fonos m√≥viles, una necesidad en el mundo de hoy, son el √ļltimo blanco. Los mensajes de texto supuestamente originados desde su banco advirti√©ndole que a menos que uno confirme su informaci√≥n de cuenta, esta ser√° deactivada. IGNORE esos mensajes, siempre son spam.

41. Dudas cantadas: Otra área caliente de actividad, la tecnología VoIP, está siendo aprovechada como una herramienta de phishing con alarmante regularidad. Los estafadores la encuentran RENTABLE para hacer numerosas llamadas y ganar sumas bien superiores a los gastos que tuvieron. Esto es doblemente peligroso porque la gente, que vería con sospechas un correo electrónico, en general tiende a creer las llamadas telefónicas.

Hacer la diferencia…

42. Únase a la lucha: Si se encuentra con una estafa de phishing, DENÚNCIELO de inmediato al  Anti-Phishing Working Group, al U.S. Federal Trade Commission (FTC) y al FBI mediante el Internet Fraud Complaint Center, ambos de los cuales trabajan para cerrar sitios de phishing y atrapar a los responsables.

43. Diga adi√≥s: Si alguna de sus cuentas ha sido comprometida, CI√ČRRELAS de inmediato.

44. Cambiar es bueno: Si siquiera sospecha que alguna de sus contrase√Īas cay√≥ en manos equivocadas, CAMBIE todas las contrase√Īas y n√ļmeros de PIN en las cuentas en linea inmediatamente.

El phishing es un área de actividad donde la ignorancia nunca es gozo. En tanto haya gente crédula, habrán delincuentes para aprovecharse de las vulnerabilidades humanas tales como el descuido, la pereza, la codicia y la ignorancia. Con la ayuda de la tecnología, estos ataques se incrementan día a día. Estar un poco alerta ayuda en la lucha contra estos cibercriminales.

Traducci√≥n: Ra√ļl Batista –¬†Segu-Info
Fuente: Focus

Share

This entry was posted in aprendizaje, concienciar, internet, phishing, seguridad. Bookmark the permalink.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.