El phishing mediante correo electrónico es más sofisticado que nunca, pero Avast te explica cómo evitar caer en la trampa.
“Apreciado usuario, tuamigojanedoe@janedo.com te ha enviado un email invitándote a editar el documento que ha compartido contigo.”
¿Te suena familiar (excepto el nombre de tu amigo, ¡por supuesto!)? Recibir notificaciones de que nuestros amigos desean compartir documentos con nosotros es algo común (¿quién manda adjuntos hoy en día?). Así mismo, los hackers saben que es algo común y lo aprovechan para robar información personal, contraseñas e identidades en línea.
Los nuevos ataques de phising utilizan cebos más sofisticados
El ataque masivo de phishing suplantando a Gmail realizado en mayo, sólo necesitó una hora (desde que empezó a propagarse hasta que Google deshabilitó las cuentas maliciosas y solucionó la vulnerabilidad) para llegar a más de 1 millón de usuarios. Pese a que el título del mensaje no parecía 100% idéntico a lo que se observa en un email de un documento compartido de Google, el botón de Ver en Docs parecía auténtico, engañando así a los destinatarios. Una vez las víctimas hacían clic en el enlace, eran redirigidos a una página de inicio de sesión de Google y se les solicitaba dar credenciales a “GoogleDocs” para acceder a sus cuentas.
Este sofisticado ataque se basaba en el hábito que tenemos en observar el título del mensaje e instintivamente abrir mensajes de remitentes desconocidos. En este caso, deberías notar que, aunque el mensaje provenía de alguien en tu lista de contactos, el campo Para era falso: los correos electrónicos estaban dirigidos a hhhhhhhhhhhhhhhh@mailinator.com. Todos los destinatarios (como tu) estaban en Cco.
Cualquier persona que hiciera clic en el enlace malicioso, otorgaban acceso a los hackers a toda su cuenta de Gmail (contactos, contraseñas, autenticación para otras cuentas, etc.). Este es el motivo por el que se propagaba tan rápidamente. Y este tipo de ataque, que genera lo que se llama una clave OAuth (que afectó a Microsoft, Google, Facebook y Twitter en 2014), se aprovecha de la tendencia que tenemos en mantener iniciada la sesión, en diferentes dispositivos, en nuestras cuentas de correo electrónico y redes sociales.
Ya no solo se trata del email
Puede que ya estés familiarizado con los siguientes consejos para evitar correos electrónicos maliciosos, pero merece la pena que los recuerdes, porque seguirlos te protegerá contra la mayoría de amenazas:
- Aprende a detectar emails falsos. Errores ortográficos en la cabecera (los campos Para, Cc, Cco, ), en la dirección de correo electrónico del remitente o caracteres extraños… todo esto son banderas rojas. Ten cuidado también si sólo estás en el campo Cco. Comprueba con el remitente mediante un correo electrónico independiente si se trata de un mensaje legítimo o no.
- Utiliza la autenticación en dos pasos. Piensa en esto como una segunda capa de protección más allá de utilizar una contraseña robusta. Si alguien trata de acceder a tus cuentas, la autenticación en dos pasos requerirá una identificación por email o teléfono.
Lo curioso del ataque “OAuth” de mayo es que la autenticación en dos pasos no te mantenía a salvo.
Así que, otra práctica que puedes adaptar es la de CERRAR SESIÓN.
Cerrar sesión es tu opción más segura
Para evitar el abuso por OAuth, cierra sesión en Facebook, Twitter, LinkedIn Gmail, Instagram y cualquier servicio en el que puedas cerrar sesión. Hazlo cada vez que dejes de usarlo. Citando a Tom’s Guide: “Deberás volver a iniciar sesión, lo que es algo molesto, pero por lo menos sabrás que nadie más puede robar tu clave o acceder a tu cuenta sin tu permiso.”
Hay un detalle más al que deberías prestar atención si quieres sentirte más seguro, sabiendo que tu cuenta de correo electrónico está protegida frente al phishing: Descarga un software anti-phishing robusto y fiable. Avast Internet Security detecta los correos fraudulentos monitorizando tu dispositivo y bloqueando amenazas antes de que sucedan.
Considerando que el ataque de Gmail de mayo no va a ser el último, revisar no solo tu correo electrónico, sino todos tus hábitos en línea, debería ocupar un puesto prioritario en tu lista de tareas pendientes. Que los cibercriminales continúen buscando nuevas maneras de robar tus datos no significa que debas morder el anzuelo.