O phishing é un ciberdelito que consiste en enganar o destinatario para que realice unha determinada acción mediante a suplantación da identidade dunha autoridade, dun xefe ou dalguén da súa confianza.
O termo phishing provén da palabra inglesa "fishing" (pesca), en referencia á necesidade de que as vítimas "mordan o anzol" e utilízase dende mediados do anos 90.
Como funciona o phishing
Todo phishing comeza co envío dunha mensaxe fraudulenta disfrazada de lexitimidade. Canto mellor sexa a imitación, máis probabilidades de éxito.
Os delincuentes copian e clonan correos electrónicos lexítimos enviados anteriormente que conteñan unha ligazón ou un arquivo adxunto e substitúenos polos fraudulentos.
Estas mensaxes convidan o/a usuario/a a realizar accións como facer clic nunha ligazón, revelar determinada información, actualizar contrasinais, indicar os seus datos para recoller un suposto premio...
Para conseguir os seus fins, os ataques de phishing baséanse na enxeñería social e na manipulación psicolóxica; é dicir, utiliza as relacións de confianza, a proximidade, a posición ou a boa reputación dunha persoa e mesmo a adulación.
Que se consegue co phishing?
O phishing é unha porta aberta ao ciberdelicuente e permítelle conseguir múltiples obxectivos e datos:
• Sabotear dispositivos ou sistemas operativos
• Suplantar a identidade
• Conseguir datos e información confidencial de clientes
• Roubar contrasinais
• Realizar operacións bancarias
• Acceder a servizos de provedores
• Instalar malware
Tipos de phishing
Hai moitos tipos diferentes de phishing, en función das canles e métodos de execución utilizados, aínda que a intención final sempre é a mesma. Algúns dos máis habituais son:
• Phishing "estándar". Na súa forma máis xenérica, o phishing consiste no envío masivo de correos que conteñen arquivos maliciosos.
• Vishing. Neste caso, o engano realízase por vía telefónica. Un clásico é a chamada de teléfono na que, facéndose pasar polo seu banco ou empresa provedora dalgún servizo, se pide ao usuario o seu código ou contrasinal.
• Smishing. Os ciberdelicuentes utilizan sms ou whatsapps.
• Qrishing. Utiliza os códigos QR para suplantar páxinas web auténticas e provocar o clic en urls fraudulentas.
• Whaling. Trátase dun phishing máis sofisticado e personalizado, con mensaxes directas a persoas con accesos ou responsabilidades en áreas críticas.
Como detectar un ataque de phishing
As técnicas de phishing, como todas as relativas a delitos informáticos, son cada día máis elaboradas e difíciles de detectar.
Con todo, hai unha serie de recomendacións básicas que podes ter en conta para detectar ataques de phising.
• Os correos ou mensaxes adoitan conter o logotipo ou a imaxe de marca da entidade, aínda que moitas veces non son idénticos (cores, tipografía, tamaño) e inclúen erros gramaticais e/ou caracteres estraños.
• As mensaxes recibidas transmiten urxencia e présas e deixan entrever certa ameaza se non se realiza de maneira inminente a acción solicitada.
• Correos e ligazóns levan a urls similares pero que non concordan exactamente coas lexítimas.
• Revisa con detemento o remitente para confirmar que é quen di ser.
• Descarga actualizacións ou programas sempre dende as páxinas oficiais ou de recoñecida credibilidade.
E, en xeral, lembra que empresas e institucións nunca che van pedir información persoal e confidencial dese xeito. En caso de dúbida, non fagas nada e contacta co remitente a través das canles oficiais.
Doutra banda, se sofres ou cres que sufriches un ataque de phishing, sempre é boa idea contactar cos organismos especializados, como o INCIBE e, en Galicia, o CSIRT.gal.