¿Cómo evitar el phishing en las notificaciones electrónicas?

Seguro que alguna vez has recibido un correo electrónico que aparenta ser de una fuente oficial, pero que en realidad es un intento de obtener tus datos personales. Normalmente suelen simular que proceden de administraciones públicas, ya sea la Seguridad Social, la Agencia Tributaria, la Dirección General de Tráfico u otras organizaciones como Correos etc. 

En este post te contamos cómo prevenir e incluso anular el phishing en tus notificaciones electrónicas gracias al uso de herramientas de gestión de notificaciones electrónicas como IvNeos y te mostramos un ejemplo reciente de ataque de phishing simulando ser la Agencia Tributaria. 

    ¿Qué encontrarás en este post?

• • ¿Qué es el phishing?
  • ¿Cómo identificar un ataque de phishing?
  • IvNeos, herramienta anti-phishing
  • Ejemplo de phishing de la Agencia Tributaria

¿Qué es el phishing?

Los correos malintencionados, también conocidos como phishing, son una técnica de fraude en internet que simulan ser de confianza para obtener información personal o financiera de sus destinatarios. Pueden llegar a ser pueden ser muy peligrosos puesto que su objetivo es la extracción de datos y robo de contraseñas, números de tarjetas de crédito y otros datos personales, o bien, de las empresas.

Estos ciberataques normalmente recurren a la suplantación de identidad de instituciones públicas para obtener más credibilidad y parecer más confiables a la hora de ser abiertos por los destinatarios y conseguir así su objetivo que bien puede ser el robo de datos o motivos económicos.

Existen diferentes tácticas en el phishing pero la más común suele ser aquella en que las víctimas reciben un mensaje en forma de correo electrónico, en ocasiones también puede ser un mensaje de texto, que imita o suplanta su identidad a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental. Cuando la víctima abre el correo electrónico o el mensaje de texto, encuentra un mensaje pensado para asustar, generar confusión en cuanto a alguna gestión o comunicación pendiente y, por tanto, infundir el miedo. La mayor parte de ocasiones, el mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o, en caso negativo, tendrá que afrontar alguna consecuencia. 

¿Cómo identificar un ataque de phishing?

Reconocer un intento de phishing no siempre es sencillo, pero algunos consejos, un poco de disciplina y algo de sentido común nos pueden ayudar mucho. Normalmente, atiende a tu instinto, busca algo que sea raro o inusual y seguramente darás con la clave para detectarlo a tiempo.

Aquí te compartimos algunas señales de intento de phishing:

• El mensaje contiene una oferta bastante llamativa. Bien puede ser algo muy económico, decir que ha ganado un premio, la lotería o algo similar. 
• No reconoce al remitente, o bien, es una dirección de correo que parece ser oficial, pero es alguien con quién no trata habitualmente.
• El mensaje contiene archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener malware, ransomware o alguna otra amenaza online.
• El mensaje contiene enlaces que parecen un poco extraños.

En el siguiente párrafo detallamos cinco medidas de prevención que te pueden resultar de ayuda:

1. No abras correos electrónicos de remitentes que no te resulten familiares.
2. No hagas clic en un enlace dentro de un correo electrónico a menos que sepas exactamente a dónde lleva.
3. Si te solicitan proporcionar información confidencial, comprueba que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers. 
4. Si sospechas que un correo electrónico no es legítimo, selecciona un nombre o parte del texto del mensaje y llévalo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.
5. También puedes pasar el cursor del ratón por encima del enlace para ver si es legítimo.

IvNeos, la herramienta anti-phishing

Normalmente podremos ser precavidos a la hora de abrir correos electrónicos de dudoso origen, o bien, a la hora de pinchar en enlaces sospechosos, pero, cuando se trata de una compañía en la que hay numerosos empleados y los correos se multiplican, a veces resulta muy complejo tener estas medidas de precaución en cuenta. 

Por tanto, lo más recomendable para nuestra empresa será contar con un gestor de notificaciones electrónicas capaz de eliminar los ataques de phishing gracias a una conexión directa con fuentes de información fehacientes.

IvNeos es una aplicación de escritorio para empresas que te permite cargar el certificado de tu empresa o de los empleados de la empresa y configurar tus buzones para recibir notificaciones de diferentes sedes electrónicas de diversas administraciones públicas. Una vez que recibes las notificaciones, puedes leerlas y descargar la documentación relevante. 

Al trabajar con IvNeos podrás despreocuparte de estos ataques y dejar de recibir emails sospechosos, comprobar links antes de abrirlos, filtrar correos, crear listas negras etc. Gracias a esta herramienta ya es posible canalizar y centralizar en un único buzón todas las notificaciones electrónicas de tu empresa, sean del organismo público que sean.

IvNeos anula al 100% los ataques de phishing y te permite estar a salvo de los hackers ya que ofrece:

• 🔐Conexión segura con las sedes de los organismos públicos escogidos por el cliente, por lo que todas las notificaciones procederán de fuentes públicas fehacientes.
• ✅ Comunicación directa y sin intermediarios que puedan manipular correos o datos, suplantaciones de identidad etc. Emisión desde la Administración y recepción inmediata en tu plataforma.
• 🚀 Sincronización de datos y comunicaciones en tiempo real, para recibir al instante tus notificaciones y evitar sanciones por responder fuera de plazos.
• 🏛️ Comunícate con más de 9.000 sedes públicas.

Ejemplo de phishing de la Agencia Tributaria

A continuación te contamos algunas medidas de prevención que te pueden resultar útiles para prevenir el phishing y proteger la información personal y financiera de tu compañía. 

Recientemente, hemos detectado un correo falso de la Agencia Tributaria y queríamos compartir contigo una serie de consejos para que sepas cómo protegerte de ellos.

El email incluye dos enlaces que parecen inofensivos, pero que en realidad apuntan a una dirección engañosa con el objetivo de redirigirte a una página falsa visualmente idéntica a la página oficial de la Agencia Tributaria y así, conseguir tus datos personales.

¿Te has encontrado alguna vez en esta situación? A continuación, te dejamos unos indicios que te ayudarán a identificar un correo falso:

1. Verifica siempre la dirección de correo del remitente: Presta atención al dominio del correo desde donde aparentemente se envía el email. Si este dominio es sospechoso, es posible que se trate de un correo falso. En este ejemplo, el correo supuestamente proviene de una fuente oficial como la Agencia Tributaria y utiliza el dominio correo.aeat.com.es:

2. Si el correo sólo tiene tu dirección de correo electrónico como información personal, es posible que se trate de un intento de phishing. Los correos de phishing a menudo utilizan listas de direcciones de correo electrónico para llegar a un gran número de personas, por lo que es poco probable que tengan más información sobre ti.

3. Nunca hagas clic en enlaces de correos sospechosos. Al mantener el ratón unos segundos sobre los enlaces directos, puedes ver la dirección a la que apuntan. Si esta dirección es sospechosa o diferente de la que se muestra en el texto del enlace, es posible que se trate de un correo de phishing. En este ejemplo, se puede ver que la dirección a la que apunta es otra.

4. Al hacer clic en un enlace del correo, asegúrate de que la página a la que te redirige sea la correcta. Si la dirección de la página es diferente de la que se esperaría (por ejemplo, si la página tiene un dominio diferente al esperado o contiene errores de ortografía), es posible que se trate de una página falsa creada con el objetivo de recopilar tus datos personales. En este ejemplo, a pesar de que el texto del vínculo es https://agenciatributaria.gob.es, nos redirecciona a otra página web: https://agenciatributaria.ac/main.php?&id=8368795&utm_tem=3158861...
5. Aquí podemos ver que la extensión de dominio es *.ac, cuando la original es *gob.es. Esta última siempre apunta a páginas oficiales del gobierno, por lo que esta pista ya nos dice que la página no es verdadera.
6. Los correos de phishing a menudo tienen un tono de urgencia para presionar a los destinatarios a hacer clic en un enlace o proporcionar información. Si el correo que has recibido te pide que realices una acción inmediatamente o te advierte de un problema grave, es posible que se trate de un correo de phishing.
7. Si al acceder a una página a través de un enlace del correo, ninguno de los botones funciona o los vínculos del pie de página no llevan a ninguna parte, es posible que se trate de una página falsa creada con el objetivo de recopilar tus datos personales. En nuestro ejemplo, al acceder a la página falsa, podemos ver que no funciona ninguno de los botones, como el de "Área personal" o el selector de idioma, o bien, los vínculos del pie de página.
8. Finalmente, si introduces una contraseña, aparece un mensaje de error con una falta de ortografía: "La validación no es correcta. Vuelve a introducir los dirección de correo y contraseña de correo electonica."