Once the confidence is gained, you can achieve your goal. It can be for example that they access a fraudulent link or that similar to their data.
Phishing is a social engineering technique used by scammers to deceive the victim. They seek to gain credentials, divert funds or, in some way, introduce different varieties of malware into a system. They use what we would call bait in Spanish.
The objective is to get the victim to take the bait. For this they use different techniques. Sometimes they simply look for the bewilderment of the victim, create confusion and in this way arrive at deception. We will explain some of the most common and how we could avoid falling into the trap.
This is a problem that is increasingly related to banks. In fact, we recently published an article where we gave some recommendations to avoid being a victim of bank phishing. But unfortunately this has to be applied to many areas of day to day.
Play with time and urgency
One of the most frequent techniques used by users is urgency. They play with time.
They look for the victim to have less reaction time and more haste. For example, something quite common is to receive an e-mail supposedly from our bank or any other account that we have, and they tell us that our data must be updated urgently. They may even tell us that we have a time limit.
It can also happen that they warn us of possible security problems. They tell us that our account may be in danger and that we must change the code urgently. Logically, users could be scared, get nervous and want to fix the problem as soon as possible. Hence, change that password or do just what the cybercriminals want.
The techniques are increasingly sophisticated. This means that they can make use of names that are familiar to us or even pass themselves off as some of our contacts. They could ask us to make an urgent transfer, for example. Or, more usual, that we send a series of personal data that are necessary for something.
But this does not have to be applied only to phishing. Sometimes what cyber criminals look for is that we install some malicious application, for example. We received a message where they urge us to update our equipment or install an application to solve a supposed dangerous security problem.
Bullying or threats
On other occasions, cybercriminals seek to intimidate the victim. For example, make them believe that they are going to close a service they have contracted. Let's put the situation where someone has a Netflix account, for example. There have been cases of emails sent to these users where they are told that they must pay an amount of money or they will have to close their account and will no longer be available.
This applies to many other fields. They look for the fear of the victim through the impersonation of the commercial service. They falsify the mails to make believe that they are facing something real and legitimate.
However, it is nothing more than a scam to get the credentials or even that user's money.
Kindness and good words
But there is another different technique for scammers to deceive the victim and kindness or have good words.
They make requests taking for good words, flattery and a lot of kindness. They seek to gain the trust of users.
Once the confidence is gained, you can achieve your goal. For example, they may access a fraudulent link or in a similar way to their data.
But there are many more scam techniques. Users always have to use common sense to avoid becoming a victim.
How to avoid phishing
.png)
The first thing to do is pay close attention to the messages that reach us both by SMS and by email or social networks. These are the main sources of entry. The attackers pretend to make us believe that we are in front of a legitimate site, like a bank, and that we can introduce our credentials without problems.
Following the example of a bank, which is one of the most common in phishing, the company would never send us an email asking for our data and passwords. The same with any other record. You have to be very careful with e-mails of the type: "enter your data so that your account is not deactivated".
Always verify the source of the emails we receive. You have to take a good look at the address, although on many occasions you can even see the logo of the company. After all, his goal is to supplant the identity. But there are small details that can betray the attacker, such as the email address that may contain letters or strange characters, as well as the way of writing (a bad Spanish translation, for example).
You have to avoid entering those sensitive accounts directly from a link. That is, if we want to enter the bank account, it is best to enter the address manually in the address bar. Never enter through a link.
Also, in terms of access to sensitive pages, you must always enter the data in secure websites with HTTPS. This way we make sure that our data is encrypted. Although the main thing to protect us from phishing is common sense, it is convenient to have security tools and programs. In this way we can fight the malware that can allow attackers to enter our team.
Finally, an important tip against phishing is to have different passwords. This means that we should not have the same password for different accounts. It is possible that cybercriminals find a vulnerability in a personal account and can access the rest. In addition, it is interesting to change these passwords periodically.
.jpeg)
=========SPANISH / ESPAÑOL========
Una vez se ganan la confianza, pueden lograr su objetivo.
Puede ser por ejemplo que accedan a un link fraudulento o que de alguna manera cedan sus datos
El phishing es una técnica de ingeniería social que utilizan los estafadores para engañar a la víctima. Buscan hacerse con las credenciales, desviar fondos o, de alguna manera, poder introducir diferentes variedades de malware en un sistema. Para ello utilizan lo que en español diríamos cebo. El objetivo es lograr que la víctima pique en el anzuelo. Para ello utilizan diferentes técnicas. A veces simplemente buscan el desconcierto de la víctima, crear confusión y de esta manera llegar al engaño. Vamos a explicar algunas de las más comunes y cómo podríamos evitar caer en la trampa.
Este es un problema que está relacionado cada vez más con los bancos. De hecho, recientemente publicamos un artículo donde dimos algunas recomendaciones para evitar ser víctima del phishing bancario. Pero por desgracia esto hay que aplicarlo a muchos ámbitos del día a día.
Juegan con el tiempo y la urgencia
Una de las técnicas más frecuentes utilizadas por los usuarios es la urgencia. Juegan con el tiempo. Buscan que la víctima tenga menos tiempo de reacción y más prisas. Por ejemplo, algo bastante común, es recibir un e-mail supuestamente de nuestro banco o cualquier otra cuenta que tengamos, y nos indican que nuestros datos deben actualizarse urgentemente. Quizás nos digan incluso que tenemos un tiempo límite.
También puede ocurrir que nos adviertan de posibles problemas de seguridad. Nos dicen que nuestra cuenta puede estar en peligro y que debemos de cambiar la clave urgentemente. Lógicamente los usuarios podrían asustarse, ponerse nerviosos y querer arreglar el problema cuanto antes. De ahí que cambien esa contraseña o hagan justo lo que los ciberdelincuentes quieran.
Las técnicas son cada vez más sofisticadas. Esto significa que pueden hacer uso de nombres que nos resultan familiares o incluso hacerse pasar por algún contacto nuestro. Podrían pedirnos realizar una transferencia urgente, por ejemplo. O, lo más habitual, que enviemos una serie de datos personales que son necesarios para algo.
Pero esto no hay que aplicarlo únicamente al phishing. En ocasiones lo que buscan los ciberdelincuentes es que instalemos alguna aplicación maliciosa, por ejemplo. Recibimos un mensaje donde nos instan a actualizar nuestro equipo o instalar alguna aplicación para solucionar un supuesto problema de seguridad peligroso.
Intimidación o amenazas
En otras ocasiones los ciberdelincuentes buscan intimidar a la víctima. Por ejemplo, hacerles creer que van a cerrar un servicio que tienen contratado. Pongamos la situación de que alguien tiene cuenta de Netflix, por ejemplo. Se han visto casos de correos electrónicos enviados a estos usuarios donde se les indican que deben pagar una cantidad de dinero o tendrán que cerrar su cuenta y dejará de estar disponible.
Esto se aplica a otros muchos campos. Buscan el miedo de la víctima mediante la suplantación del servicio comercial. Falsifican los correos para hacer creer que están ante algo real y legítimo. Sin embargo, no es más que una estafa para hacerse con las credenciales o incluso el dinero de ese usuario.
La amabilidad y buenas palabras
Pero hay otra técnica distinta utilizada por los estafadores para engañar a la víctima y es la amabilidad o tener buenas palabras. Realizan solicitudes teniendo para ello buenas palabras, halagos y mucha amabilidad. Buscan ganarse la confianza de los usuarios.
Una vez se ganan la confianza, pueden lograr su objetivo. Puede ser por ejemplo que accedan a un link fraudulento o que de alguna manera cedan sus datos.
Pero existen muchas más técnicas de estafa. Los usuarios siempre tienen que utilizar el sentido común para evitar ser víctima.
Cómo evitar el phishing
Lo primero que hay que hacer es prestar mucha atención a los mensajes que nos llegan tanto por SMS como por correo electrónico o redes sociales. Estas son las principales fuentes de entrada. Los atacantes pretenden hacernos creer que estamos ante un sitio legítimo, como un banco, y que podemos introducir nuestras credenciales sin problemas.
Siguiendo con el ejemplo de un banco, que es uno de los más habituales en el phishing, la compañía jamás nos enviaría un correo pidiéndonos nuestros datos y contraseñas. Lo mismo con cualquier otro registro. Hay que tener mucho cuidado con e-mails del tipo: “introduce tus datos para que no se desactive tu cuenta”.
Siempre hay que verificar la fuente de los correos que recibamos. Hay que fijarse bien en la dirección, aunque en muchas ocasiones calcan hasta el logo de la empresa. A fin de cuentas su objetivo es suplantar la identidad. Pero hay pequeños detalles que pueden delatar al atacante, como la dirección de correo que pueda contener letras o caracteres extraños, así como la forma de escribir (una traducción al español mala, por ejemplo).
Hay que evitar entrar en aquellas cuentas sensibles directamente desde un link. Es decir, si queremos entrar en la cuenta del banco, lo mejor es que introduzcamos la dirección de forma manual en la barra de direcciones. Nunca entrar mediante un enlace.
También, en cuanto a acceso a páginas sensibles, hay que introducir siempre los datos en webs seguras con HTTPS. Así nos aseguramos de que nuestros datos vayan cifrados.
Aunque lo principal para protegernos del phishing es el sentido común, conviene contar con programas y herramientas de seguridad. De esta manera podremos combatir el malware que pueda permitir la entrada de atacantes a nuestro equipo.
Por último, un consejo importante contra el phishing es contar con diferentes contraseñas. Esto significa que no debemos de tener una misma clave para diferentes cuentas. Es posible que los ciberdelincuentes encuentren una vulnerabilidad en alguna cuenta personal y puedan acceder al resto. Además, es interesante cambiar de forma periódica estas contraseñas.