El propósito de suplantación de identidad es recoger información sensible con la intención de usar esa información para tener acceso a datos protegidos como nombres de usuario, contraseñas, etc. El éxito del phishing está supeditado a establecer la confianza con sus víctimas.
En el típico caso, una persona recibe un e-mail donde se la invita a ingresar al banco ya sea para recibir un beneficio o para confirmar las credenciales. Este e-mail trae un enlace que simula ser del banco, pero realmente nos lleva a otro dominio con una página web idéntica a la de nuestro banco. Si no se está atento este sitio nos pedirá el acceso al banco y, de completar el acceso, estamos entregando los datos de acceso a nuestras cuentas bancarias.
Existen varias técnicas de phishing utilizados por los atacantes:
- El envío de un enlace en un correo electrónico que redirige a su empleado a un sitio web no segura que solicita información sensible.
- La instalación de un virus troyano a través de un archivo adjunto de correo electrónico malicioso o un anuncio que le permitirá al intruso para explotar las debilidades del sistema y obtener información sensible.
- Simular la dirección del remitente (de u banco, por ejemplo) en un correo electrónico que aparezca como una fuente de confianza y solicitar información sensible.
- El intento de obtener información a través del teléfono haciéndose pasar por un vendedor de una compañía conocida o departamento de sistemas.
Aquí hay algunos pasos que uno puede tomar para protegerse contra el phishing:
- Implementar un filtro de SPAM que detecta los virus, los remitentes en blanco, etc. La mayoría de los servicios de web hosting ofrecen este filtro por defecto.
- Mantener todos los sistemas con los últimos parches de seguridad y actualizaciones.
- Instalar una solución antivirus, programar actualizaciones de firmas, y supervisar el estado del antivirus en todos los equipos.
- Cambiar la contraseña cada pocos meses y que la misma sea compleja (lo mas compleja que uno pueda recordar).
- Instalar un filtro web para bloquear sitios web maliciosos.
- Convertir los correos electrónicos en HTML a solo texto. Esto hace que no se pueda ejecutar código en la al leer un mensaje.
Si se trata de una empresa, hay varios pasos que se pueden tomar para protegerse contra el phishing. Deben mantenerse atentos a las estrategias actuales de phishing y establecer políticas de seguridad para poder eliminar las amenazas a medida que evolucionan. Es igualmente importante asegurarse de que sus empleados entiendan los tipos de ataques a los que se pueden enfrentar, los riesgos, y la manera de abordarlos. Bien informados los empleados y los sistemas bien actualizados son clave a la protección de su empresa de los ataques de phishing.