La tarde del pasado día 31 de diciembre detectamos un ataque phishing a las cuentas de correo de la Universidad Miguel Hernández con el fin de obtener sus contraseñas haciendo uso de una cuenta robada de la UMH. El mismo día 31 se pusieron en marcha los procedimientos para parar el ataque, entre los que se incluyen notificar a la empresa que alojaba la página “señuelo” para que la bloquearan. Durante el fin  el fin de semana las medidas funcionaron y se detuvo el ataque y bloqueo la página “señuelo”, pero posteriormente el atacante consiguió reactivar la cuenta robada e intentó repetir el ataque que volvimos a parar durante el día 2.

¿Qué es un ataque de phishing?

Según parece (porque el origen es incierto) “phishing” proviene de la palabra inglesa «fishing» (pesca), haciendo referencia al hecho de utilizar un cebo para que las víctimas “muerdan el anzuelo”

Es un término utilizado para describir un conjunto de técnicas que tratan de engañar a una víctima con ingeniería social para que ésta, de forma voluntaria, realice acciones que normalmente no haría (como entregar información confidencial como su contraseña) con el fin, en la mayoría de los casos, de estafarla o conseguir información relevante para poder realizar ataques a otras personas de la organización.

Si todavía no sabes de qué estamos hablando te ponemos un ejemplo: te llega un mail de tu banco diciendo que ha habido un problema con tu contraseña de tu banca online y te pide que entres en un enlace y metas tu usuario y contraseña. Puede que estés pensando que nadie puede caer en esa trampa pero mucha gente lo hace.

El correo suele enviarse desde una cuenta casi idéntica a la de nuestro banco, copiando los logotipos y enlaza con una web que, en muchas ocasiones es difícil de diferenciar de la auténtica. Además, estos correos suelen ser masivos, si envían 1.000.000 de mail no es raro que “piquen” un 1% y con eso ya habrían obtenido 10.000 usuarios y contraseñas.

Otro ejemplo es el que hablábamos al principio, el ataque sufrido por la UMH el pasado diciembre.

En este caso, usuarios del correo electrónico de la UMH recibieron un mail el día 31 de diciembre en el que se les avisaba que su cuenta se había bloqueado por razones de seguridad e invitaba al usuario a “verificar su identidad mediante un procedimiento de seguridad” y a continuación enlazaba una web.  

Al pinchar en el enlace se habría una web en el navegador en el aparecía un formulario en el que solicitaba nombre y apellidos, correo electrónico y contraseña. Si hubiéramos hecho esto hubieran tenido acceso libre a  nuestro correo electrónico ya que lo que hacemos realmente es darles todos nuestros datos en el formulario. 

¿Cómo identificar que el mensaje que nos envían es falso?

En primer lugar deberíamos sospechar que cualquier correo que nos solicite una información tan importante como el usuario y la contraseña. Ante la duda lo más aconsejable es entrar directamente a la página web de nuestra organización, banco, etc. escribiendo nosotros la dirección en el navegador y comprobar que está todo correcto, en caso de seguir teniendo dudas consultar con la persona/empresa/organización que supuestamente envía a través de un correo seguro, es decir, no usando la dirección que nos llega si no una que sepamos que es real. 

Luego hay varias cosas que podemos observar que nos pueden dar pistas de su autenticidad o no. En este caso, aunque ha falsificado el campo “enviado por”, en “firmado por” se observa claramente que no es un servidor de la UMH: “xxxxxx.umh.es” ni el “responder a” es una cuenta UMH.

Por otro lado, en el formulario de la web falsa, han utilizado un logo que ya no está en uso en la UMH desde hace al menos 4 años.

¿Qué hacer?

Si te llega un correo de este tipo NO pulses ningún enlace ni desde tu ordenador ni tableta y menos desde el móvil desde donde es más difícil ver estos enlaces que llevan a webs falsas, NO contestes y por supuesto, NUNCA introduzcas tu contraseña en esas páginas web falsas.

Si te parece sospechoso, las plataformas de correo moderno suelen tener alguna opción para “Denunciar suplantación de identidad” que puede ayudar a que otras personas no lo reciban o les alerte de que no es seguro.

Por último, lo único que habría que hacer es simplemente eliminarlo.