Un nuevo estudio de Google y la Universidad de California, San Diego, dice que algunas páginas de phishing son tan convincentes que engañan a simple vista a un 45% de los visitantes.
Por supuesto que estos sitios son verdaderas obras maestras del phishing. Sin embargo Google afirma que, tomando todas las webs falsas, el porcentaje de gente que envía información es del 14%.
Incluso los sitios que salta a la vista que son falsos, consiguen engañas a un 3% de los internautas.
Un 3% no parece un número preocupante, pero es mucho mayor de lo que las apariencias indican, ya que un ciberdelincuente que se hace con una cuenta la usara para engañar a toda la lista de conocidos de su víctima.
Como dice Google, los delincuentes envían millones de mensajes por lo que aún un pequeño porcentaje de éxito supone un gran número de personas afectadas.
Los investigadores descubrieron que una vez tienen acceso a la cuenta, no pierden tiempo en sacarle todo el provecho que puedan. El tiempo de acceso a una cuenta comprometida es menor a 30 minutos desde que se conocen las credenciales en el 20% de los casos.
Una vez que han conseguido entrar, muchas veces cambian la contraseña para impedir el acceso al verdadero propietario, además buscan información financiera, sobre cuentas en las redes sociales o sobre otras posibles víctimas.
Actuando con el nombre de la víctima envían correos a todos los conocidos. Estos emails son muy efectivos ya que provienen de alguien conocido. De hecho las posibilidades de éxito son 36 veces más.
Los ciberdelincuentes aprenden rápido, así si se introduce un cambio de seguridad en la página que intentan copiar, lo copian casi instantáneamente.
Perro viejo, nuevos trucos
Aunque para muchos de nosotros, el phishing es un truco de la vieja escuela, los delincuentes continúan ideando nuevas trampas con las que cazarnos. Por ejemplo, el año pasado descubrimos en SophosLabs, una página que se enviaba como adjunto en un correo electrónico que pretendía robarnos nuestras credenciales de PayPal, algo bastante común.
Sin embargo está pagina apuntaba a los servidores auténticos de PayPal, pero utilizaba un complejo sistema para filtrar los datos del usuario.
Consejos
Para no caer en los engaños que nos ponen, Google recomienda:
Mantente alerta: Da igual cuantos intentos de spam o phishing bloquee tu proveedor de correo, debemos estar muy atentos a los correos que nos solicitan nuestras credenciales de acceso. Reprime tu instinto de contestar, e informa de lo que has recibido. En caso de dudas, visita la página directamente, sin seguir el enlace que aparece en el correo y revisa y actualiza tu cuenta.
Recupera tu cuenta lo antes posible: Si tu cuenta está en peligro, es importante que tu proveedor disponga de un sistema fiable para ponerse en contacto contigo y confirma tu identidad. Google recomienda el uso de una segunda dirección de correo electrónico o el número de tu móvil. Eso si asegúrate que tu cuenta de correo de emergencia está actualizada y usas una contraseña robusta distinta de la primera.
Autentificación de dos factores: Muchos proveedores de correo disponen de esta opción que provee de una capa adicional de seguridad al pedir a mayores de la contraseña otro código que normalmente te envían al correo. Google también ha introducido recientemente una llave USB que autentifica nuestra identidad.
Nosotros hemos publicado un artículo sobre como asegurar nuestro correo web. No dudes en consultarlo para mejorar tu nivel de seguridad.