El FBI alerta del aumento en el uso de webs “seguras” en campañas de phishing

Tal y como venimos informando desde hace meses, los casos de phishing durante este 2019 no han dejado de crecer y se han convertido en una de las amenazas más importantes. Los delincuentes no han desaprovechado la oportunidad de seguir utilizando técnicas sobradamente conocidas para obtener el máximo beneficio con el mínimo esfuerzo aunque, como vamos a ver, han ido incluyendo nuevas características para conseguir más víctimas.

Alerta del FBI

En un comunicado publicado el pasado 10 de junio, el FBI alertó del aumento del uso de certificados que se viene observando desde hace tiempo en páginas webs fraudulentas. De esta manera, los usuarios ven un símbolo de confianza en la forma de un pequeño candado de color verde que les hace pensar que están ante una web segura.

Nada más lejos de la realidad ya que la presencia de ese icono solo indica que la transferencia de información realizada desde la máquina de la víctima a la web del atacante se realiza de forma cifrada, y esto no significa que la web sea segura. Una vez el delincuente ha recopilado la información enviada por las víctimas (sea mediante el uso o no de un protocolo seguro) la utilizará de forma fraudulenta o la venderá a otros delincuentes.

Por desgracia, son muchos los años que se lleva repitiendo el consejo de fijarse en ese candado verde como uno de los puntos clave para comprobar si una web es segura y va a costar que la mayoría de usuarios cambien su forma de pensar. Esto lo saben bien los delincuentes y, desde hace tiempo, están adquiriendo certificados para que sus webs de phishing aparenten ser más legítimas. La popularización de servicios como Let’s Encrypt ha ayudado a muchos usuarios a conseguir este tipo de certificados pero también a algunos delincuentes. No obstante, tampoco deberíamos extrañarnos si vemos alguna web fraudulenta con un certificado de pago puesto que es muy probable que se haya comprado usando datos de tarjetas robadas previamente.

Consejos para evitar caer en esta trampa

A pesar de esta innovación en algunos casos de phishing, la mayoría de consejos que se han venido ofreciendo para evitar caer en este tipo de trampas siguen siendo perfectamente válidos a día de hoy. Estos son algunos de ellos:

  • No confiar ciegamente en el supuesto remitente de un correo electrónico. Esta información puede ser fácilmente modificada por un atacante para hacer creer a sus víctimas de que han recibido un correo importante de alguna empresa o conocido. Antes de pulsar en cualquier enlace proporcionado en este tipo de correo hay que revisar bien su contenido para encontrar posibles fallos cometidos por los delincuentes en forma de errores de ortografía o similares.
  • En el caso de que sea una persona conocida la que nos envía el correo y lo que nos pida sea algo fuera de lo común (realizar una transferencia, proporcionar información personal o confidencial, etc) siempre debemos confirmar que ha sido esta persona la emisora real de este mensaje y contactaremos con ella mediante una llamada o un correo aparte. Nunca contestaremos directamente al email recibido.
  • Podemos revisar a donde se nos intenta redirigir si ponemos el cursor encima de los enlaces que se proporcionan en los correos de phishing. La gran mayoría de ellos (ataques homográficos aparte) intentará redirigirnos a webs que no tiene nada que ver con las empresas a las que intentan suplantar o tienen algún ligero cambio en alguna letra o usan un dominio diferente al original (.org, en lugar de .com o similar).
  • Como acabamos de ver, el uso de un certificado legítimo que permite mostrar el conocido candado verde no significa que la web sea segura así que no debemos bajar la guardia al verlo en una web.

Conclusión

Cuando revisamos las tendencias en las amenazas utilizadas por los delincuentes nos damos cuenta de que muchas veces se reciclan técnicas antiguas a las que se añade alguna característica nueva para conseguir más víctimas. El phishing es un claro ejemplo y, por ese motivo, debemos estar al tanto de cuáles son las tendencias para evitar caer en una trampa que lleva ya mucho tiempo entre nosotros.

Josep Albors

¿Dónde dices que has encontrado conectada esa Raspberry Pi?