1. Inicio
  2. Reflexiones
  3. Phising: ejemplos y recomendaciones para detectarlo

Phising: ejemplos y recomendaciones para detectarlo

27 de mayo de 2023

j

Miguel Ángel Rayo Troya

El Phising es el delito de suplantación de identidad para conseguir contraseñas, números de tarjetas de crédito u otra información confidencial

Normalmente se recibe un e-mail o sms haciéndose pasar por una entidad financiera, servicio de internet, plataforma a la que podemos estar suscritos u otra organización de confianza. El texto suele ser un aviso urgente de caducidad del servicio o la necesidad hesitad de actualizar datos lo más rápido posible para no sufrir las consecuencias. El miedo a que, por ejemplo, se cancele nuestra suscripción o perdamos una «super oferta» baja nuestras defensas y debilita nuestro juicio.

Aunque el primer consejo que ya habremos escuchado millones de veces es NO ABRIR CORREOS DE REMITENTES DESCONOCIDOS, esas direcciones de correo también vienen camufladas para confundirnos y que confiemos en ellas. Otro buen consejo es tener un buen antivirus con antimalware, pero no nos vamos a engañar, todavía muchos piensan que, para que van a pagar por un antivirus si se lo pueden bajar «pirata» o usar una versión gratuita.

Después de esta breve introducción sobre que es el «Phising», quiero compartir los distintos intentos de ataque que he recibido últimamente, ya que algunos estaban muy bien logrados e incluso me hicieron dudar de que tal vez fuesen un e-mail de confianza, concretamente uno de Hacienda y otro de Wetransfer.

Por un lado, están todos los que me llegan al correo de @gmail.com y que ya son detectados directamente como spam. Como veis, los nombres de los remitentes parecen ser CorreosLIDL etc. y en el asunto, el mensaje «aterrador»: – Tus datos serán borrados -, – Último aviso de entrega -, – Felicidades, te ha tocado … – UN PERRITO PILOTO ME HA TOCADO.

Si por casualidad uno de estos mensajes se os cuela en la bandeja de entrada, la forma más fácil de comprobar su verdadera procedencia es dejando el cursor de ratón sobre el nombre del remitente unos segundos. Aparecerá una ventana emergente que mostrará el nombre y además la dirección de correo desde la que se ha enviado en mensaje. En el ejemplo se ve claramente que el remitente no tiene nada que ver con la oficina de Correos.

Phising en carpeta spam

Si utilizas un gestor de correo como Outlook o Mail de Apple también puedes ver el verdadero e-mail del remitente haciendo clic o clic derecho sobre el nombre.

En mi correo corporativo se me han colado algunos intentos de Phising fuera de la carpeta spam. Os los comento para que estéis prevenidos:

1.- De Nominalia

En mi caso era de Nominada, pero si tenéis otro proveedor os puede llagar de dicho proveedor. Me informaba de que uno de los dominios registrados había caducado y tenía que renovarlo urgentemente para no perderlo. Yo lo que hice fue entrar en mi panel de control y comprobar que al dominio en cuestión aún le faltaban 4 meses para caducar.

Por lo tanto, borre el mensaje directamente, sin abrirlo y sin comprobar nada más. Pero si quien lo recibe es alguien que solo tiene registrado el dominio de su negocio y no sabe con certeza cuando caduca, es muy posible que abra el mensaje y clique en un enlace que le lleve a realizar un pago de entre 5 y 20 euros que es lo que suele costar la renovación de un dominio.

Aunque éste es fácil detectar que se trata de una estafa, solo hay que comprobar antes de pagar, si envían 10.000 correos y pican 1.000, por ejemplo, pues eso que se llevan…

2.- De WordPress

Phising WordPress

Recibí un correo, supuestamente de WordPress, que me informaba de una actualización que tenía que realizar antes de una fecha, en rojo para verla bien. Justo el día que recibí en correo era el último día para realizar dicha actualización.

Este correo supongo que iba dirigido a los que tenemos una cuenta de WordPress, que es distinto de tener una web realizada con WorPress pero alojada en un hosting propio. Aun así, cualquiera que sepa que su web está hecha en WordPress podría caen en la trampa ante el miedo de no actualizar y perder sus datos.

Lo primero sospechoso es que nunca en todos los años desde que tengo la cuenta de WordPress he recibido un mensaje parecido.

Lo segundo, una falta de ortografía.

Como comprobación de rutina, ya sospechando bastante de la veracidad del mensaje, miré la dirección del remitente y pude comprobar que efectivamente era otro intento de Phising.

Phising WordPress

3.- De Roundcube

Roundcube es un cliente de correo para ver los mensajes de correo a través de una página web. Es el proveedor de hosting el que lo tiene instalado y tu accedes desde una url que suele ser https://webmail.tudominio.com. Pues bien, me llegó un mensaje indicando que me caducaba el servicio de Roundcube y que lo tenía que renovar de inmediato para no perder el acceso y bla, bla, bla..

Mi proveedor de hosting no utiliza este servicio, así que el mensaje fue enviado directamente a la papelera «… sin pasar por la casilla de salida y sin cobrar las 20.000 pts.»

Acceso a Webmail con Roundcube

Unos días después, otro cliente me reenvió el mismo e-mail diciendo que había recibido ese mensaje y no sabía que tenía que hacer, Por suerte preguntó antes de hacer nada.

Si tú también recibes un mensaje parecido, ya sea de Rouncube u otro servicio de webmail, antes de hacer nada asegúrate de la autenticidad del correo y ante la duda consulta con tu proveedor del servicio.

3.- De Wetransfer

Wetransfer es la plataforma utilizada para enviar archivos que pesan demasiado como para enviarlos por e-mail convencional. Yo lo utilizo bastante tanto para enviar como para recibir archivos.

Este intento de Phising estaba algo más elaborado, pero aun así había algo raro que desde el principio lo hacía sospechoso. Mirando un poco más afondo se encuentran las claves que te hacen ver que se trata de otra suplantación de identidad.

Phising Wetransfer

El e-mail que recibí estaba en inglés, cuando tanto los que yo envío como los que suelo recibir están en castellano. Aun así, podría ser que el remitente lo tuviese configurado en inglés, todo es posible.

Los archivos que supuestamente me envían no son nada que yo esperara recibir: una factura, unas especificaciones y un listado del contenido.

Al leerlo más detenidamente se ve que en el asunto del correo hay una variable que se debería haber sustituido por el mail del destinatario (se supone que ahí tendría que ir mi dirección de correo o mi nombre). «Querido ## email##» ya hizo que se me encendiese la luz roja de PELIGRO, pero podría ser simplemente un error. Y como siempre: TOP URGENT, para ponerme nervioso.

El siguiente paso, como de costumbre fue ir a ver el correo desde el que se ha enviado este mensaje:

Correo Falso de Wetransfer

Viene de «wetransfer@noreply.com«. Entre los nervios porque me avisa que es urgente y que soy medio disléxico, me parece que el mensaje es auténtico, pero aún. así hay algo que me «rechina». Mejor lo reviso otra vez con más detenimiento.

En el pie del mensaje se ve un texto que indica que para asegurarte de recibir estos correos añadas la dirección noreply@wetransfer.com a tus contactos. Pero la dirección de envío es justo al revés, wetransfer@noreply.com. ¡Confirmado! Es otro mensaje Phising.

¡Que cabrones! casi me la cuelan.

3.- De la Agencia Tributaria

Todos sabemos quiénes son y, no me digáis que no os da miedo recibir cualquier comunicación, por lo que pueda tratarse. Aunque ya he recibido tres mensajes iguales y los dos últimos ya ha ido a la bandeja de spam, el primero llegó a la bandeja de entrada, y coincidió que me llegó unos días después de presentar la liquidación del I.V.A. del primer trimestre. 

Al ver el nombre del remitente «se me aflojaron las patas» y lo primero que pensé fue – ya está, ya me van a hacer una inspección por algún error en el I.V.A. – 

El mensaje era todo texto, indicando que tenía una notificación, con mis datos, un número de referencia, etc. Me indicaba que tenía que entrar en la web de la Agencia Tributaria para descargarlo, con la url de la misma, esa tan cortita yu sencillo de recordar… Y otro link supuestamente con un enlace directo único para mi acceso al documento.

Al ir a ver la dirección de correo del remitente, veo que es …@agenciatributaria.gob.es. Recordad que en ese momento aún estoy de los nervios ante la duda de lo que se pueda tratar si es que es cierto que tengo una notificación.

La dirección del enlace directo también pertenece al mismo dominio, por lo que doy por sentado que puede ser verdaderamente un e-mail enviado desde la Agencia Tributaria. Y para no tener que buscar en Google la web y buscar el apartado de notificaciones, etc. hago clic (si, hice clic en el link del e-mail) y me dirige a una web idéntica a la oficial. Mismo encabezadomismo pie de página con los diferentes links a los distintos servicios, etc. PERO… el cuerpo de la página es un formulario de acceso en el que se solicita mi USUARIO y CONTASEÑA.

Phising Agencia Tributaria

¡QUE HIJOS DE PUTA! Yo no entro a la web de la Agencia Tributaria con usuario y contraseña (supongo que nadie lo hace) Me identifico con el DNI, Fecha de caducidad y un PIN temporal que recibo en el móvil.

¿Pero cómo podía ser que el formulario para el Phising estuviese dentro de la propia web de la Agencia Tributaria? 

Pues porque no lo estaba. La web a la que había ido a parar y desde la que provenía el mail era agenciatributariE.gob.es (con e minúscula) y que con los nervios la leí como su fuese una a.

Por supuesto, ya más tranquilo, accedí desde la web oficial al apartado notificaciones para comprobar que efectivamente no tenía ninguna notificación.

Tened cuidado y sed precavidos ante posibles ataques Phising

Espero que esto os sea de ayuda para detectar y prevenir los posibles intentos de Phising que recibís en vuestro correo, por SMS o incluso por WhatsApp. Si, por WhatsApp también, habéis recibido algo parecido a «Mamá, me he quedado sin batería, llámame a este número…» desde un número desconocido. Pues no lo hagáis.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Contenido Relacionado