Phishing

En Galilibros, o Wikibooks en galego.

O phishing é unha técnica de captación ilícita de datos persoais (principalmente relacionados con claves para o acceso a servizos bancarios e financeiros) a través de correos electrónicos ou páxinas web que imitan/copian a imaxe ou aparencia dunha entidade bancaria/financeira (ou calquera outro tipo de empresa de recoñecido prestixio).

En términos máis coloquiais, podemos entender o phishing como "pesca de datos", ao asimilar a fonética da palabra phishing co xerundio fishing.

A técnica do phishing utiliza o correo electrónico para poñerse en contacto cos usuarios, utilizando mensaxes que imitan, case á perfección, o formato, linguaxe e a imaxe das entidades bancarias/financeiras, e que sempre inclúen unha petición final en solicítaa aos usuarios a "confirmación" de determinados datos persoais alegando distintos motivos: problemas técnicos, cambio de política de seguridade, posible fraude etc...

Estas mensaxes de correo electrónico sempre inclúen enlaces que conducen aparentemente ás páxinas web oficiais das citadas entidades pero que, en realidade, remiten a "páxinas web trucadas" que imitan ou copian case á perfección a páxina web da entidade financeira, sendo a súa finalidade principal captar datos dos usuarios.

Dada a confianza que os usuarios teñen depositada nas entidades das que son clientes, e por descoñecemento ou simplemente ante a incerteza e temor creados, acceden a devanditas páxinas web trucadas, onde o defraudador ou delincuente informático, obtén os datos persoais ou claves de acceso persoais.

É a partir deste momento onde empeza a fraude:

  • Utilización do número de tarxeta e data de caducidad para compras por Internet (comercio electrónico).
  • Realización de transferencias bancarias non consentidas nin autorizadas.
  • Retirada de efectivo en cajeros con duplicados das tarxetas.
  • Etc.

Aspectos a ter en conta para evitar o phishing:

1.- Sospeite de calquera correo electrónico con solicitudes urxentes de información persoal, que utilice argumentos como:
  • Problemas de carácter técnico.
  • Detecciones de posibles fraudes.
  • Cambio de política de seguridade.
  • Promoción de novos produtos e/ou servizos.
  • Premios, agasallos, concursos etc...
Ademais, este tipo de correos adoita incorporar advertencias tales como: se non realiza a confirmación/cambio solicitada, no transcurso de --- horas/días procederase ao bloqueo/cancelación, da súa conta bancaria/conta de cliente etc...; de forma que se forza unha resposta case inmediata do usuario.
Dado que o phishing é unha técnica de envío masivo de correos electrónicos a múltiples usuarios, é posible que reciba correos electrónicos de entidades ou empresas das que vostede non é cliente, e nos que se solicita igualmente devanditos datos. Nestes casos, directamente, descártelos.
2.- Sospeite dos correos electrónicos que lle soliciten información como: nome de usuario, contrasinal ou clave de acceso, número de tarxeta de crédito, data de caducidade, número da seguridade social etc...
3.- As mensaxes de correo electrónico de phishing non adoitan estar personalizados, mentres que as mensaxes das entidades das que somos clientes adoitan estar personalizados.
4.- Evite cubrir formularios en correos electrónicos que lle soliciten información financeira persoal.
5.- Non utilice enlácelos incluídos nos correos electrónicos que conducen aparentemente ás entidades, especialmente se sospeita que a mensaxe podería non ser auténtico. Diríxase directamente, a través do seu navegador web, á páxina web da entidade ou empresa.
6.- Antes de facilitar calquera dato sensible (datos bancarios, números de tarxetas de crédito, número da seguridade social etc...) asegúrese de que se atopa nunha web segura.
As páxinas web que utilizan protocolos de seguridade, que impiden a captación de datos por parte de terceiros non autorizados, caracterízanse porque a dirección web que aparece na barra de navegación comeza co protocolo “https” e na parte inferior da páxina aparece un candado.
Igualmente podemos comprobar a veracidade do protocolo de seguridade; para iso, podemos premer dúas veces no candado da parte inferior da páxina, e apareceranos unha fiestra na que se identifica á compañía de certificación e ao titular do protocolo, así como o seu validez.
7.- Asegúrese de ter o navegador web actualizado e cos últimos parches de seguridade instalados.
8.- Se continua tendo dúbidas acerca da veracidade do correo electrónico, do seu emisor ou da súa finalidade, non dubide en poñerse en contacto coa entidade da que é cliente.
9.- Para rematar, comprobe regularmente as súas contas bancarias para asegurarse que todos os movementos ou transaccións son lexítimos. En caso de detectar algo sospeitoso, non dubide en poñerse en contacto coa súa entidade bancaria.