Detectados intentos de Phishing a Office 365

Ciberseguridad 12/01/2019

Haz click en el botón editar para cambiar este texto. Lorem ipsum dolorTener en cuenta que aspecto, remitente (myreport5@dianalanga.com) y asunto pueden variar.

Recomendamos seguir siempre los siguiente consejos para reducir el riesgo que suponen estos ataques a los usuarios:

  1. Si has recibido una comunicación en la que te urgen a enviar contraseñas u otros datos personales o confidenciales, hacer clic en algún enlace o descargar algún archivo, ¡desconfía y espera! En ningún caso actúes con urgencia ni bajo presión.
  2. Ante la duda, contacta por otro medio con el remitente y confirma que realmente te ha enviado ese mensaje.
  3. Antes de enviar información en respuesta a un correo o llamada, revisa la identidad del remitente y si le conoces. Si es una web dónde vas a hacer login, comprueba que no es falsa. Mira si tiene certificado https, ábrelo y comprueba si es realmente la entidad que debería ser. Las entidades que se precian tienen que tener certificados de entidades reconocidas. Las web que suplantan a otras entidades también pueden utilizar https, por ello es necesario que nos familiaricemos con la información que hay en el certificado.
  4. Cuando introducimos datos personales como el correo electrónico en una web es necesario leer su política de privacidad y Aviso Legal (y las condiciones de contratación en caso de contratos). Aun siendo páginas lícitas, si no comprendemos bien lo que ahí está escrito podemos estar consintiendo que vendan a terceros nuestros datos. Nuestro email podría terminar en manos de ciberdelincuentes que envían correos de phishing.
  5. Si recibes un mensaje con una URL donde hacer clic, no te precipites. Pasa el ratón sobre el enlace para comprobar a dónde te lleva. El navegador o el cliente de correo te mostrarán la URL definitiva. Comprueba que es la dirección que corresponde a tu interlocutor real (tu proveedor o a la Agencia Tributaria, por ejemplo). Muchas veces utilizan URL parecidas, en las que hay una letra de más o de menos.
  6. Desconfía de las URL acortadas, pues no podemos comprobar si el destino es legítimo o no. Como norma general las entidades financieras, de suministros (agua, luz, gas,…) y gubernamentales, no harán uso de direcciones acortadas, para evitar que puedan suplantarles. Puedes instalar algún complemento o plugin para tu navegador que te ayude a expandirlas antes de hacer clic.
  7. Cuando descargues un documento adjunto a un mensaje y al abrirlo te lance una ventana en la que te pide permiso para habilitar el contenido (como las legítimas de Office), no te fíes. El software que descarga el malware puede estar programado para simular esta ventana y al hacer clic en el botón de «habilitar contenido», se inicia la descarga del malware. Por eso es una buena medida, habilitar sólo contenido de fuentes fidedignas.
  8. Ante la menor sospecha: ¡borra ese mensaje o cuelga esa llamada!