Muchas campañas de e-mails fraudulentos contienen el logotipo, los colores y la entidad corporativa de la empresa a la que suplantan.
El phishing es una técnica de engaño que suplanta a una empresa o servicio legítimo con el fin de estafar a la víctima, obteniendo sus datos personales, credenciales de servicios online o datos bancarios. Las campañas de phishing suelen realizarse a través del correo electrónico y páginas web fraudulentas que copian con mayor o menor acierto la identidad corporativa que suplantan.
El modus operandi del phishing suele ser similar en la mayoría de los casos:
- Los estafadores envían un correo electrónico haciéndose pasar por una entidad bancaria, compañía eléctrica, servicio de mensajería o cualquier otra entidad de confianza.
- El motivo de la comunicación puede ser alertar de una supuesta doble facturación que el usuario tiene que verificar, una factura que no se ha pagado, que necesitan actualizar su base de datos o la dirección de recogida del paquete, por ejemplo.
- Estos correos falsificados contienen en el cuerpo del mensaje un enlace que redirige a una página web fraudulenta que parece ser de la empresa suplantada. Normalmente contiene un cuestionario sobre datos personales o incluso una pasarela de pago para enviar datos bancarios.
- Esta web también tiene el aspecto de la compañía u organización a la que están suplantando, para que el engaño sea redondo. Si la víctima pica en el anzuelo y envía sus datos privados a través del cuestionario, en realidad se los estará enviando al ciberdelincuente que está detrás de la estafa.
El objetivo de los ciberdelincuentes es hacerte creer que una empresa de la que supuestamente eres cliente te está enviando una comunicación oficial, con el fin de obtener datos personales o sensibles: credenciales de servicios online (usuario y contraseña) para hacerse con tus cuentas, datos bancarios para robar tu dinero o suplantar tu identidad.
En ocasiones, también son vehículos para enviar malware, como el ransomware. Este programa dañino se descarga al acceder al enlace o se encuentra oculto en un archivo adjunto en el correo. Los ciberdelincuentes alojan las webs fraudulentas en dominios (el nombre que identifica a un sitio web) que en muchas ocasiones incluyen el propio nombre de la compañía que van a suplantar, para confundir a las posibles víctimas.
No solo a través del correo electrónico
El correo electrónico ha sido el método más usado tradicionalmente para propagar campañas de phishing, pero cada vez más se están dando casos de fraude a través de otros medios, aprovechando sobre todo el tirón de los dispositivos móviles. Puedes recibir un mensaje de phishing (que se hace pasar por una empresa o servicio) en las redes sociales y en las aplicaciones de mensajería. También puedes recibir un SMS fraudulento en tu móvil, y en este caso la técnica se denomina “smishing”.
Principales servicios suplantados por pishing
- Entidades y servicios bancarios
- Compañías telefónicas, eléctricas, de agua, gas o cualquier otro servicio.
- Empresas de mensajería
- Administración Pública
- Redes sociales
- Plataformas de compraventa o de subastas, tiendas online.
- Servicios de pago online
- Juegos online
- Servicios de correo y almacenamiento en la nube
- Soporte técnico
Comentarios recientes