Etiqueta: email

Me robaron mi cuenta de correo ¿cómo lo hicieron?

, , ,

Tus contactos te dicen que están recibiendo un email desde tu cuenta de correo vendiéndoles un reloj de marca a precios increíbles. Si es así, es casi seguro que te hayan robado tu email.

Como usamos nuestros correos electrónicos en aplicaciones, suscripciones de servicios o en sites de interés, los ciberdelincuentes hackean las cuentas para obtener toda esa información importante que dejas.

Pero, ¿cómo te roban tu email?

Correo phishing

El phishing es una de las técnicas de ingeniería social más usada para acceder de manera fraudulenta a los datos de inicio de sesión de tu cuenta de correo electrónico.

Es decir, los ciberdelincuentes suplantan la identidad de tu servicio de mensajería de emails (Gmail, Hotmail, Yahoo, Outlook).

Cómo comprobarlo:

  • Colocan una dirección en el campo remitente casi idéntica a la legítima.
  • Usan logos, cabeceras y pie de páginas similares a los proveedores de correo.
  • Agregan al correo enlaces a fuentes oficiales.

Así luce un correo fraudulento, de actividad inusual de Microsoft:

Imagen tomada de welivesecurity.com

En este caso la supuesta actividad inusual le pide al usuario que confirme si realizó tal inicio de sesión con un link que dice “revisar la actividad reciente” y que al dar clic lo llevará a un sitio, también falso.

La página a la que llega el usuario le solicitará ingresar su contraseña, momento en el que el ciberdelincuente habrá obtenido los datos de acceso de la víctima.

[Al final de este artículo comprueba si tu contraseña es segura con nuestro verificador]

El email fraudulento ha sustituido sutilmente algunos aspectos, que si no somos conscientes pueden pasar desapercibidos:

  • El URL sustituye puntos por guiones.
  • Hay caracteres de más en la dirección.
  • El diseño parece auténtico, pero tiene ligeros errores.
Ejemplo de página falsa para robar correo electrónico
Así luce la página falsa para que el usuario coloque su contraseña.
Imagen tomada de welivesecurity.com

Consejo del experto: de acuerdo con Miguel M. Arias, experto en ciberseguridad de la Universidad INTEC, puedes evitar el robo de tu correo considerando la autenticidad del email (dude si te parece extraño), verifica la dirección de correo del remitente; chequea bien el cuerpo del correo para detectar faltas ortográficas, pon atención al horario de envío y el contexto del mensaje.

A través de lo que tecleamos

Cada tecla que marcas cuando escribes en tu computadora puede dejar un rastro a través del cual el ciberdelincuente puede adivinar tu contraseña.

¿Cómo lo hace? Con la instalación de un tipo de malware llamado keylogger que, aunque es un programa que puede ser usado legítimamente, cuando se usa en contra de la seguridad se convierte en un mecanismo de fraude.

Ese software rastrea cada tecla y envía la información al pirata informático, que da con la contraseña de cualquier cuenta de email o aplicación, cuenta de banco o los datos de la tarjeta de crédito, para hacer más ataques.

Cómo evitarlo: Usa un gestor de contraseña para crear claves fuertes y seguras y recuerda actualizarlas periódicamente.

Mensajes de texto

Aunque los mensajes de textos (SMS) están en desuso, pueden ser una vía para el robo de email.

Esta estafa consiste en el envío de un SMS a tu celular a través del cual te indican, supuestamente enviado por Google (o cualquier otra empresa de mensajería) para informar al usuario, que alguien ha intentado entrar en su Gmail.

Acto seguido recibes vía email un correo fraudulento que te alarma de un intento de inicio de sesión. Igual que en el caso anterior, adjuntarán un enlace que te llevará, supuestamente a una página para poder cambiar tu contraseña.

La estafa es tan limpia, que incluso el aparente servicio de Gmail enviará de vuelta otro SMS para solicitar el código de verificación, con lo que los ciberdelicuentes entran con la contraseña desde otra ubicación.

Solución: Si recibes un mensaje de texto similar, omítelo o elimínalo. No descargues ni des clic a ningún enlace.

Comprueba si tu contraseña es segura

Pon una contraseña de referencia en este cuadro:

Se necesitarían 0 segundos para descifrar su contraseña

    Compartir

    Phishing: estas 5 señales te dirán si un correo es falso

    , , ,

    ¿Recibiste un correo extraño desde Facebook, Netflix o Google PlayStore? ¿O quizás una oferta irresistible de Amazon?

    Seguro son emails de phishing, una técnica de ingeniería social que utiliza correos electrónicos falsos para robar tu información privada, sustraer dinero o infectar tu computadora o celular con un virus.

    Pero nos tienes a nosotros, mira estas 5 señales y podrás distinguir fácilmente un correo falso.

    [Sigue leyendo, al final te dejamos una prueba para que verifiques lo que aprendiste].

    1.¿Quién te envía el correo?

    No te guíes por el título del correo electrónico. Mira el encabezado para ver quién lo envió.

    Toma en cuenta: la mayoría de las organizaciones tendrán su propio dominio de correo electrónico, formado por el nombre de la empresa, usuario@aba.org.do o soporte@amazon.com

    Si la dirección «de» no coincide con el supuesto remitente del correo email, o si no tiene sentido, es posible que se trate de un fraude.

    Ejemplos

    • El email dice ser de tu lugar de trabajo o una organización formal, pero viene de «usuario@yahoo.com».
    • Recibes un correo de Amazon, y el email es de soporte@amazan.com (fíjate que cambió una letra).
    • Recibes un correo de tu amigo de Facebook, pero el remitente es josé@faceb00k.tl

    Tip del experto: duda siempre de emails recibidos de dominios públicos, tales como @gmail, @hotmail, @outlook. -Ing. Miguel M. Arias, director de la Maestría en Ciberseguridad de la Universidad Tecnológica de Santo Domingo.

    2. Mira las señales extrañas

    Muchos de los correos de phishing son escritos en masa usando plantillas o mensajes genéricos.

    Probablemente si recibes este tipo de email, tenga faltas ortográficas, saludos poco profesionales o contenido sin sentido que no coincide con el asunto.

    Ejemplos

    • El asunto dice «Documentos Importantes» el cuerpo del correo habla de cambiar tu contraseña.
    • Un correo electrónico que dice provenir de la Universidad se dirige «Estimado usuario de webmail» en lugar de «Estimada, [nombre]».

    [GRATIS] Descarga nuestra guía de ciberseguridad para empresas

    3.Verifica los enlaces

    Muy importante: no abras ningún enlace sin antes verificarlo.

    Solo debes seguir estos pasos para revisar un link antes de abrirlo:

    1. Coloca el cursor (mouse), sin hacer click, sobre el enlace.
    2. La página de destino te saldrá en la esquina inferior izquierda (mira la foto como referencia).
    Phishing, ejemplo de un correo falso
    Ejemplo de un correo de phishing. Para verificar el enlace, solo debes colocar el cursor sobre el link y saldrá la página de destino sin hacer click. Fuente: Google

    Además, no visites sitios web si tu navegador te advierte que hay contenidos peligrosos o engañosos.

    4.¿Te está presionando?

    «Confirma AHORA o cancelaremos tu cuenta», «solo para las primeras 10 personas en hacer clic».

    Los ciberdelincuentes pueden utilizar amenazas o una falsa sensación de urgencia para engañarte y que actúes sin pensar.

    5.Ante la duda, verifica

    Si crees que un mensaje podría ser legítimo, pero no estás seguro, ponte en contacto con el supuesto remitente por separado (por ejemplo, por teléfono) para preguntar por ese correo.

    Muchas organizaciones tienen información sobre el tipo de correos que envían en su website oficial, consúltalas antes de caer ante cualquier email fraudulento.

    Ahora, revisemos si realmente aprendiste. Identifica este correo

    Compartir

    10 recomendaciones para detectar un email falso

    , , ,

    Aunque a nivel de plataforma las organizaciones pueden implementar herramientas para hacer que el servicio de correo electrónico sea más seguro y confiable, la decisión final de validar y abrir un correo está en poder del usuario, quien debe asegurarse de que solamente abre correos legítimos. A continuación, diez recomendaciones para ayudarnos a detectar un email falso.

     

    Por Ing. Miguel M. Arias

    El correo electrónico o email es un medio de comunicación ampliamente utilizado, no solo en nuestro país, sino también en el resto del mundo.

    Estudios recientes indican que tanto la cantidad de usuarios de email como la cantidad de email enviados y recibidos seguirán en aumento durante los próximos tres años. Estos señalan  que en el 2020, la cantidad de usuarios de correo en el mundo alcanzó la cifra de 4 billones y se predice que tendrá un crecimiento de un 3% durante los próximos tres años, equivalentes a 100 millones de nuevos usuarios cada año.

    Si consideramos que la población mundial es de unos 7.6 billones de habitantes, podemos afirmar que, aproximadamente, la mitad de la población del mundo tiene email.  Estos 4 billones de usuarios enviaron y recibieron unos 306.4 billones de email, diariamente. Esto representa, unos 300 millones de emails por segundo.

    El correo electrónico seguirá siendo parte importante de nuestro entorno, tanto para uso empresarial como para uso personal. Para muchos el correo electrónico es una herramienta de trabajo esencial. Desafortunadamente, el mail es usado por ciberdelincuentes como un arma poderosa para perpetrar ataques que pueden tener consecuencias catastróficas para las organizaciones en las que nos desempeñamos. 

    Nuestros empleados hoy reciben y envían más correos electrónicos, en parte debido al trabajo remoto,  como consecuencia de teletrabajo. Los ciberdelincuentes usan el correo electrónico para el robo de identidad, secuestro de activos de información (ramsomware), phishing, virus y muchos otros programas maliciosos. Como consecuencia, el riesgo de ciberataques vía correo electrónico es mayor cada día.

    Aunque a nivel de plataforma las organizaciones pueden implementar herramientas para hacer que el servicio de correo electrónico sea más seguro y confiable, la decisión final de validar y abrir un correo está en poder del usuario, quien debe asegurar que solamente abre correos legítimos. A continuación, diez recomendaciones para ayudarnos a detectar un email falso:

    1.- Manténgase siempre alerta

    No asuma que el correo es legítimo. Aún cuando el email provenga de una cuenta real, la cuenta puede haber sido comprometida. Peticiones inusuales o fuera de contexto con alto sentido de urgencia, tales como transferir dinero y similares, deben ser confirmadas.

    2.- Verifique el encabezado el correo

    No se guíe solamente del título del correo electrónico. Échele una hojeada a la información del encabezado para verificar si viene de una fuente legítima. Las direcciones de email de las organizaciones serias contienen el nombre del dominio en la dirección del correo, después del símbolo @. Ejemplos: usuario@intec.edu.do, usuario@aba.org.do, usuario@com.do, usuario@popularenlinea.com, usuario@banreservas.com, usuario@amazon.com.

    3.- Verifique el nombre de dominio

    Tenga en cuenta que con solo cambiar un carácter, el dominio corresponde a otra organización. Por ejemplo soporte@entec.edu.do no es un email del “Intec” porque se sustituyó la “i” por una “e” en el nombre del dominio.  soporte@p0pularenlinea.com.do no es un email del Banco Popular porque la “o” fue sustituida por el “0”.

    4.- Dude siempre de email recibidos de dominios públicos, tales como @gmail, @hotmail, @outlook.

    Las organizaciones que se preocupan por su seguridad no usan dominios públicos para comunicarse con sus clientes, suplidores, empleados ni relacionados.

    5.- Verifique que los enlaces no estén redireccionados a sitios falsos

    Los enlaces dentro del email deben corresponder al dominio de la organización.  Coloque el cursor, sin hacer clic, sobre el link para visualizar la página a la que el enlace le llevaría y confirme que sea legítima.

    6.- No abra ningún enlace sin antes cerciorarse de que ese le lleva a una página legítima

    No provea información de sus cuentas ni accesos a través de accesos no confirmados.

    7.- Dude de email con faltas ortográficas y errores gramaticales

    Otra forma de detectar un email falso es con la ortografía. Las organizaciones serias son cuidadosas en sus comunicaciones, y aunque faltas y errores gramaticales son posibles es poco común encontrar múltiples errores.

    8.- Dude de mensajes no solicitados que parecen fuera de contexto

    Esos avisos que apelan a nuestra empatía o sentimientos o curiosidad, tales como ofertas increíbles, premios de loterías, herencias, ofertas de trabajo, curas para el Covid, etc.

    9.- No abra anexos que no hayan sido solicitados sin estar seguro de su validez

    Confirme con la fuente del mismo.

    10.- Preste atención al campo en el que aparezca su email

    En muchos casos, los ciberdelincuentes envían un email a una dirección con un dominio oficial de una empresa y colocan en el campo Bcc (copia de carbón oculta) la dirección del objetivo real del email.

    Mantengámonos siempre alerta, respetemos las políticas de seguridad cibernética y de la información de la organización y recuerde, si es demasiado bueno para ser verdad, probablemente no lo sea. 

    ¿Cree que está listo para detectar un email falso?

     

    Ing. Miguel M. Arias, MCS, CRISC, CRCMP
    
    El autor dirige la maestría en ciberseguridad de la Universidad INTEC y dirige la práctica 
    de consultoría en Gobernanza, Riesgo y Complimiento del GRUPO SANUS, SRL.
    

     

    Te puede interesar:
    Teletrabajo: protegemos a los nuestros
    Compartir
    Protégete de los ciberdelitos
    Recibe informaciones, recursos gratis y consejos para navegar seguro.
    Protégete de los ciberdelitos
    Recibe informaciones, recursos gratis y consejos para navegar seguro.
    Ir al contenido