"Después de tres intentos fallidos de acceder a su cuenta, su Perfil en línea ha sido bloqueado. Esto se ha hecho para asegurar sus cuentas y proteger su información privada. Usted puede reactivar su perfil dirigiéndose a: …"
Suena como un correo electrónico típico de phishing, ¿verdad? Pero ¿qué pasa si el mensaje parece venir del director de Informática de la pequeña empresa donde usted trabaja, quien le advierte que algo anda mal en su cuenta de la compañía? ¿Pulsaría usted el vínculo?
Hoy en día, los que envían este tipo de fraude así lo esperan. De hecho, el fragmento que se ha traducido arriba no apareció en la usual andanada global de correo electrónico que se envía con la esperanza de atrapar a los destinatarios que tienen cuentas en eBay o PayPal. Fue enviado el pasado mayo exclusivamente a los estudiantes y facultad de la Universidad de Kentucky como parte de un ataque dirigido (lo que se conoce en inglés como "spear-phishing", algo así como “pesca con arpón”) contra la pequeña cooperativa de crédito de 33.000 miembros de la universidad. Otro incidente del que se informó ampliamente involucró a una compañía israelí que usaba técnicas de spear-phishing para instalar programas de espionaje en las PC de la oficina de uno de sus competidores.
Según Peter Cassidy, secretario general del grupo Anti-Phishing Working Group, la forma de actuar de los remitentes de spear-phishing es muy parecida a la de los mercadotécnicos, ya que confeccionan un mensaje y lo dirigen solamente a las personas indicadas.
Estos ataques concentrados, continúa Cassidy, hacen un mejor uso de las técnicas de ingeniería social para confundir a quienes ya están evitando el contenido generalizado de los ataques típicos de phishing, pero que no esperan un correo electrónico dirigido a una empresa u organización menor.
Espérelo: Según el informe de Global Security Index de IBM, el número de intentos interceptados de spear-phishing pasó de apenas 56 en enero a una explosión de más de 600.000 casos en junio.
Protéjase
• Sea escéptico: No importa de quién venga el correo electrónico, si se refiere a la información de una cuenta, desconfíe.
•Haga una llamada telefónica: Si recibe correo electrónico que le parece sospechoso, llame a la organización involucrada.
• Nunca pulse los vínculos del correo electrónico sospechoso: En vez de eso, navegue por su cuenta hasta la página Web de la compañía.
• Pruebe la barra de herramientas de NetCraft: Este utensilio contra phishing (toolbar.netcraft.com) puede advertirle de sitios sospechosos.
Cómo funciona
El remitente de spear-phishing descubre una compañía víctima con un directorio detallado en línea y extrae una lista de direcciones de correo electrónico.
A fin de que parezca más real el engaño, el remitente selecciona una persona importante para que sirva como la “fuente” del mensaje.
El remitente escribe el texto del mensaje electrónico; para hacerlo atractivo incluye todos los detalles específicos posibles de la compañía y lo envía a las direcciones de la lista.
Uno de los empleados muerde el anzuelo y revela su nombre de acceso y contraseña.
¡Se produce el allanamiento! El malhechor emplea los datos obtenidos para robar la información de la compañía.