Táboa de contidos
Non te asustes, probablemente esteas ben.
Probablemente todos nos caemos. Navegamos sen pensar no noso correo electrónico, facemos clic nunha ligazón dun deles e redirímonos a unha páxina na que se nos solicita que introduzamos o noso nome de usuario e contrasinal. Ou aparece unha ventá emerxente con algúns anuncios lixo e un sinal de advertencia levado a: "Infectouse!"
Chámome Aaron. Son avogado e técnico en ciberseguridade con máis dunha década de experiencia. Tamén fixen clic nunha ligazón de phishing antes.
Falemos un pouco sobre o phishing: que é, que facer se fai clic nunha ligazón maliciosa e como defenderse contra ela.
Conclusións clave
- A suplantación de identidade é unha forma de conseguir que revele información ou proporcione diñeiro.
- A suplantación de identidade é un ataque de oportunidades a gran escala.
- Se sufriches unha suplantación de identidade, mantén a calma, fai un ficheiro un informe policial, fale co seu banco (se é o caso) e intente eliminar os virus do seu ordenador (se é o caso).
- A mellor defensa contra o phishing é saber o seu aspecto e evitalo se é posible.
Que é Phishing?
Phishing é pescar cun ordenador. Imaxina isto: alguén, nalgún lugar, escribiu un correo electrónico deseñado para defraudarche información e diñeiro. Ese é o atractivo. Lanzan a súa liña enviando o correo electrónico a centos de persoas escollidas ao chou. Despois agardan. Finalmente, alguén responderá, fará clic na súa ligazón ou descargará un virus docorreo electrónico e teñen a súa captura.
Iso é practicamente. Moi sinxelo, aínda que moi devastador. É a forma principal na que se inician os ciberataques, hoxe en día. Vou ver como se ve un correo electrónico de phishing máis tarde, pero hai algunhas formas comúns nas que se produce un ciberataque mediante phishing. O tipo de ataque é relevante para o que facer a continuación.
Solicitude de información ou diñeiro
Algúns correos electrónicos de phishing solicitarán información, como un nome de usuario e un contrasinal, ou solicitarán diñeiro. Probablemente todos escoitamos falar da estafa do príncipe nixeriano, onde un príncipe nixeriano envíache un correo electrónico dicindo que herdaches millóns de dólares, pero tes que enviar algúns miles de taxas de procesamento. Non hai millóns, pero podes estar fóra de miles se caes por el.
Anexo malicioso
Este é un dos meus favoritos persoais e vouno presentar cunha anécdota. Alguén que traballa nunha empresa, que nunca se encargou dunha factura da empresa, recibe un correo electrónico no que se di: "Factura vencida! Paga inmediatamente!" Hai un anexo en PDF. Ese empregado abre entón a factura, a pesar de que nunca o fixera antes, e implícase malware no seu ordenador.
O anexo malicioso é un ficheiro que pode abrir o destinatario que, cando se abre, descarga e executa un virus ou outra carga útil maliciosa.
Ligazón maliciosa
É semellante ao anexo malicioso, pero en lugar dunanexo, hai unha ligazón. Esa ligazón pode facer algunhas cousas:
- Pode redirixir a un sitio de aspecto lexítimo, pero ilexítimo (por exemplo: un sitio que parece unha páxina de inicio de sesión de Microsoft que non o é).
- Pode descargar e executar un virus ou outra carga útil maliciosa no teu ordenador.
- Tamén pode ir a un sitio que bloquea a entrada do usuario e fai que pareza que descargaches algo malicioso e solicita o pago para desbloquear.
Que fas se te suplantaron?
Fagas o que fagas, non te asustes. Mantén a cabeza nivelada, respira profundamente e pensa no que che dixen aquí.
Mantén as túas expectativas razoables. A xente será comprensiva e quererá axudarche, pero, ao mesmo tempo, hai cousas que simplemente non podes facer. Por exemplo, é difícil recuperar diñeiro despois de ser transferido. Non imposible, pero difícil. Outro exemplo: non podes simplemente cambiar o teu Número de Seguridade Social (para os lectores dos EUA). Hai un listón moi alto que tes que cumprir para que se faga ese cambio.
Independentemente do que suceda, chame á policía local. Nos Estados Unidos podes chamar á policía e ao FBI. Aínda que non poidan axudarche co teu problema inmediato, agregan información para a xestión de tendencias e as investigacións. Lembra que poden solicitar unha copia do teu disco duro como proba. Avalía se queres ou non realizar isto como unopción.
Se realizas un pago por algunha destas formas de suplantación de identidade, presentar un informe policial axudarache no seguinte paso, que é chamar ao teu banco ou departamento de fraude con tarxetas de crédito para iniciar unha acción de recuperación. Quizais non teña éxito, en definitiva, pero paga a pena intentalo.
Solicitudes de información ou diñeiro
Se respondeu a un correo electrónico ou fixo clic nunha ligazón e fornece a súa información persoal ou un pago, debe presentar un informe policial xa que iso axudará a recuperar fondos ou manexar posibles futuros roubos de identidade.
Se proporcionaches o teu número de seguro social ou outra información de identificación persoal, podes contactar coas tres principais axencias de crédito Equifax, Experian e TransUnion para conxelar o teu crédito.
Isto evita que as liñas de crédito fraudulentas (por exemplo, préstamo, tarxeta de crédito, hipoteca, etc.) se contraten ao teu nome. Esta é unha recomendación moi centrada nos Estados Unidos, polo que póñase en contacto coas autoridades de crédito do teu país (se non as tres anteriores) para abordar as liñas de crédito fraudulentas no teu país.
Anexo malicioso
É probable que Windows Defender, ou o teu software de detección e resposta de malware que elixas, o deteñan automaticamente. Se non é así, verás problemas de rendemento moi importantes, información cifrada inaccesible ou información eliminada.
Se non pode solucionar o problema usando o punto finalsoftware malicioso, entón quizais necesites reformatear o ordenador e reinstalar Windows . Aquí tes un vídeo sinxelo de YouTube sobre como facelo.
Pero vou perder todos os meus ficheiros importantes! Se non tes unha copia de seguranza, si. Si, vai.
Neste momento: inicia unha conta de Google, Microsoft ou iCloud. En serio, fai unha pausa na lectura aquí, configura un e volve. Carga nel todos os teus ficheiros importantes.
Todos eses servizos permítenche acceder aos teus ficheiros desde o teu ordenador e usalos coma se estiveses no teu ordenador. Tamén ofrecen control de versións. O seu peor caso é o ransomware, onde os ficheiros están cifrados. Podes restaurar as versións dos ficheiros e volver aos teus ficheiros.
Non hai razón para non configurar o almacenamento na nube e poñer alí todos os teus ficheiros importantes que non se poden perder.
Ligazón maliciosa
Se a ligazón malicioso despregou un virus ou software malicioso e tes problemas con el, sigue as instrucións da sección anterior, Anexo malicioso.
Se a ligazón maliciosa che pediu que introduzas un nome de usuario e un contrasinal, debes restablecer o teu contrasinal inmediatamente. Tamén recomendaría restablecer o seu contrasinal en calquera outro lugar que usase ese mesmo contrasinal co mesmo ou cun nome de usuario similar. Canto antes o fagas, mellor, así que non o postergues!
Como podes detectar un correo electrónico de phishing?
Hai algúnscousas que hai que ter en conta para identificar un correo electrónico de phishing.
A mensaxe é dunha fonte lexítima?
Se a mensaxe pretende ser de Adobe, pero o enderezo de correo electrónico do remitente é @gmail.com, é pouco probable que sexa lexítimo.
Hai faltas de ortografía importantes?
Isto non indica por si só, pero en combinación con outras cousas indica que algo pode ser un correo electrónico de phishing.
É urxente o correo electrónico? ¿Está incitando a tomar medidas inmediatas?
Os correos electrónicos de phishing aproveitan a túa resposta de loita ou fuga para que actúes. Se está a ser contactado, digamos pola policía, chame á policía e vexa se realmente o buscan.
A maioría dos pagos que realizas non están en Google Play nin en tarxetas de agasallo de iTunes.
Según o anterior, moitos esquemas fraudulentos piden que pagues con tarxetas de agasallo, porque son en gran parte imposibles de rastrexar e non son reembolsables unha vez usadas. As organizacións oficiais ou as forzas da orde non che pedirán que pagues cousas con tarxetas de agasallo. Algunha vez.
Espérase a solicitude?
Se che piden que fagas un pago ou que te arresten, fixeches o que te acusan? Se che piden que pagues unha factura, estás esperando unha factura?
Se che piden que ingreses un contrasinal, o sitio parece lexítimo?
Se te redirixen a un inicio de sesión de Microsoft ou Google, pecha o navegador por completo, ábreo de novo e despoisinicia sesión en Microsoft ou Google. Se se che solicita que introduza o contrasinal para ese servizo despois de iniciar sesión, non é lexítimo. Nunca introduza o seu contrasinal a menos que vostede mesmo vaia ao sitio web lexítimo.
Preguntas frecuentes
Cubrimos algunhas das túas preguntas sobre as ligazóns de phishing!
Que facer se fixen clic nunha ligazón de phishing no meu iPhone/iPad/teléfono Android ?
Segue as instrucións anteriores. O bo dun iPhone, iPad ou Android é que hai moi poucos virus ou malware baseados na web ou en anexos para eses dispositivos. A maioría do contido malicioso entrégase a través da aplicación ou das Play Stores.
Que facer se fixen clic nunha ligazón de phishing pero non introducín os detalles?
Parabéns, estás ben! Descubriches a suplantación de identidade e evitaches. Iso é exactamente o que deberías facer coas ligazóns de phishing: non introduzas os teus datos. Traballa para non interactuar con eles a próxima vez. Mellor, aínda, informe de spam/phishing a Apple, Google, Microsoft ou a quen sexa o seu provedor de correo electrónico. Todos eles aportan algo.
Conclusión
Se recibiches unha suplantación de identidade, mantén a calma e xestiona os teus asuntos. Chama ás autoridades policiais, ponte en contacto coas institucións financeiras afectadas, conxela o teu crédito e restablece os teus contrasinais (todo segundo corresponda). Con sorte, tamén seguiches o meu consello anterior e configuraches o almacenamento na nube. Se non, configura agora o almacenamento na nube.
Que máis fas para manter os teus datos seguros? Que buscas para evitar correos electrónicos de phishing? ¡Avísame nos comentarios!
