Es cuando un atacante usa la interacción humana (habilidades
sociales) para obtener o comprometer información sobre una organización o sus
sistemas informáticos. Un atacante puede parecer modesto y respetable, incluso
puedes ofrecer credenciales para respaldar esa identidad. Sin embargo, al hacer
preguntas, él o ella pueden reunir suficiente información para infiltrarse en
la red de una organización.
Si un atacante no puede reunir suficiente información, puede
ponerse en contacto con otra fuente de la misma organización y confiar en la
información de la primera fuente para aumentar su credibilidad.
¿Qué es un ataque de
phishing?
Phishing es una forma de ingeniería social. Los ataques usan
el correo electrónico o sitios web maliciosos para solicitar información
personal haciéndose pasar por una organización confiable. Por ejemplo, un
atacante puede enviar un correo electrónico aparentemente de una compañía de
tarjetas de crédito acreditada solicitando información de la cuenta, que a
menudo sugiere que hay un problema. Cuando los usuarios responden con la
información solicitada, los atacantes pueden usarla para obtener acceso a las
cuentas.
Los ataques de phishing también pueden provenir de otros tipos
de organizaciones, como organizaciones benéficas. Los atacantes a menudo
aprovechan los eventos actuales y ciertas épocas del año, como: Desastres
naturales (por ejemplo: un huracán o tsunami), epidemias y sustos de salud,
preocupaciones económicas (por ejemplo, estafas), o elecciones políticas.
Evita ser una víctima
Sospeche de llamadas telefónicas no solicitadas, o mensajes
de correo electrónico de personas que preguntan sobre empleados u otra
información interna de la organización.
No proporcione información personal o sobre su organización,
incluida su estructura o redes, a menos que esté seguro de la autoridad de una
persona para tener la información.
No revele información personal o financiera por correo
electrónico.
No envíe información delicada a través de Internet, antes
debe verificar la seguridad del sitio web.
Preste atención a la URL del sitio web. Los sitios web
malintencionados pueden parecer idénticos a un sitio legítimo.
Si no está seguro de sí una solicitud por correo electrónico
es legítima, intente verificarla contactando a la compañía directamente. No use
la información de contacto proporcionada en un sitio web conectado a la
solicitud.
Instale y mantenga el software antivirus, firewalls y filtros
de correo electrónico para reducir parte de este tráfico.
Aproveche las funciones antifraude que ofrece su cliente de
correo electrónico y su navegador web.
Recomendaciones
Si cree que puede haber revelado información confidencial
sobre su organización, repórtelo a las personas adecuadas dentro de la organización.
Si cree que sus cuentas financieras pueden verse
comprometidas, comuníquese con su institución financiera de inmediato.
Cambia inmediatamente cualquier contraseña que hayas
revelado, asegúrese de cambiarla para cada cuenta y no use esa contraseña en el
futuro.
Esté atento a otras señales de robo de identidad.
Fuente: Us-cert.gov
Fuente: Us-cert.gov