¿Qué es el "spear phishing"?
Es posible que haya oído hablar de las estafas de "phishing": mensajes de correo electrónico fraudulentos o sitios Web falsos diseñados para robar datos de identidad. A través del "phishing", los timadores intentan convencer a millones de usuarios para que revelen información confidencial. Ahora existe una nueva versión de una vieja estafa, que se denomina "spear phishing". Se trata de un ataque dirigido por correo electrónico que un timador envía únicamente a un grupo reducido de personas; por ejemplo, los empleados de una empresa. El mensaje de correo electrónico podría parecer auténtico, pero responder es arriesgado, tanto para usted como para su empresa.
Cómo funciona una estafa de "phishing" típica
Los timadores especializados en "phishing" no actúan de forma selectiva y, por lo general, envían de forma masiva mensajes de correo electrónico que parecen proceder de organizaciones muy conocidas, como entidades bancarias y casas de subastas, entre otras. Estos mensajes de correo electrónico y ventanas emergentes, así como los sitios Web de los que contienen vínculos parecen "oficiales", de modo que muchas personas pueden llegar a creer que son reales. Hay personas confiadas que responden a peticiones que reciben de esta forma, y en las que se solicitan números de tarjetas de crédito, contraseñas, información sobre cuentas u otros datos personales y financieros. De acuerdo con la encuesta State of the Net de ConsumerReports de 2005, las estafas de "phishing" en Estados Unidos tienen un costo medio de 395 dólares estadounidenses por incidente para los consumidores. Si desea obtener más información acerca de las estafas de "phishing" estándar, consulte ¿Qué es el "phishing"?
Cómo funciona una estafa de "spear phishing"
El "spear phishing" hace referencia a cualquier ataque de phishing dirigido a un objetivo muy específico. Los timadores de "spear phishing" envían mensajes de correo electrónico que parecen auténticos a todos los empleados o miembros de una determinada empresa, organismo, organización o grupo. Podría parecer que el mensaje procede de un jefe o de un compañero que se dirige por correo electrónico a todo el personal (por ejemplo, el encargado de administrar los sistemas informáticos) y quizá incluya peticiones de nombres de usuario o contraseñas.
En realidad, lo que ocurre es que la información del remitente del correo electrónico ha sido falsificada. Mientras que las estafas de "phishing" tradicionales están diseñadas para robar datos de personas, el objetivo de las de "spear phishing" consiste en obtener acceso al sistema informático de una empresa. Si responde con un nombre de usuario o una contraseña, o si hace clic en vínculos o abre archivos adjuntos de un mensaje de correo electrónico, una ventana emergente o un sitio Web desarrollado para una estafa de "spear phishing", puede convertirse en víctima de un robo de datos de identidad y poner en peligro a su organización.
Las estafas de "spear phishing" también se dirigen a personas que utilizan un determinado producto o sitio Web. Los timadores utilizan toda la información de que disponen para personalizar al máximo posible la estafa de phishing.
Puede contribuir a evitar las estafas de "spear phishing" si aplica algunas de las técnicas que ya conoce para evitar estafas de "phishing" estándar.
Cinco sugerencias para evitar las estafas de "spear phishing"
Fuente: Centro de Protección Microsoft
Cómo funciona una estafa de "phishing" típica
Los timadores especializados en "phishing" no actúan de forma selectiva y, por lo general, envían de forma masiva mensajes de correo electrónico que parecen proceder de organizaciones muy conocidas, como entidades bancarias y casas de subastas, entre otras. Estos mensajes de correo electrónico y ventanas emergentes, así como los sitios Web de los que contienen vínculos parecen "oficiales", de modo que muchas personas pueden llegar a creer que son reales. Hay personas confiadas que responden a peticiones que reciben de esta forma, y en las que se solicitan números de tarjetas de crédito, contraseñas, información sobre cuentas u otros datos personales y financieros. De acuerdo con la encuesta State of the Net de ConsumerReports de 2005, las estafas de "phishing" en Estados Unidos tienen un costo medio de 395 dólares estadounidenses por incidente para los consumidores. Si desea obtener más información acerca de las estafas de "phishing" estándar, consulte ¿Qué es el "phishing"?
Cómo funciona una estafa de "spear phishing"
El "spear phishing" hace referencia a cualquier ataque de phishing dirigido a un objetivo muy específico. Los timadores de "spear phishing" envían mensajes de correo electrónico que parecen auténticos a todos los empleados o miembros de una determinada empresa, organismo, organización o grupo. Podría parecer que el mensaje procede de un jefe o de un compañero que se dirige por correo electrónico a todo el personal (por ejemplo, el encargado de administrar los sistemas informáticos) y quizá incluya peticiones de nombres de usuario o contraseñas.
En realidad, lo que ocurre es que la información del remitente del correo electrónico ha sido falsificada. Mientras que las estafas de "phishing" tradicionales están diseñadas para robar datos de personas, el objetivo de las de "spear phishing" consiste en obtener acceso al sistema informático de una empresa. Si responde con un nombre de usuario o una contraseña, o si hace clic en vínculos o abre archivos adjuntos de un mensaje de correo electrónico, una ventana emergente o un sitio Web desarrollado para una estafa de "spear phishing", puede convertirse en víctima de un robo de datos de identidad y poner en peligro a su organización.
Las estafas de "spear phishing" también se dirigen a personas que utilizan un determinado producto o sitio Web. Los timadores utilizan toda la información de que disponen para personalizar al máximo posible la estafa de phishing.
Puede contribuir a evitar las estafas de "spear phishing" si aplica algunas de las técnicas que ya conoce para evitar estafas de "phishing" estándar.
Cinco sugerencias para evitar las estafas de "spear phishing"
- No revele nunca información personal ni financiera en respuesta a una petición recibida por correo electrónico, independientemente de quién parezca que la ha enviado.
- Si recibe un mensaje de correo electrónico sospechoso, llame a la persona o a la organización que figuran en la línea De antes de responder o de abrir ningún archivo adjunto.
- Nunca haga clic en vínculos de un mensaje de correo electrónico en el que se solicite información personal o financiera. En vez de eso, escriba la dirección Web en la ventana del explorador.
- Informe de cualquier mensaje de correo electrónico que sospeche que pudiera formar parte de una campaña de "spear phishing" dirigida contra la empresa.
- Utilice Microsoft Phishing Filter, que explora e identifica sitios Web sospechosos y proporciona actualizaciones e informes puntualmente acerca de sitios de phishing conocidos. Para obtener más información, vaya a Cómo obtener Microsoft Phishing Filter.
Fuente: Centro de Protección Microsoft
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!