Los sitios web de phishing son preocupantemente populares, por lo que vale la pena saber cómo detectarlos.
Las estafas de phishing siguen siendo bastante frecuentes hoy en día e incluso se han vuelto más sofisticadas con el tiempo. La mayoría de estas estafas se inician desde la bandeja de entrada del correo electrónico de la víctima, con un enlace que conduce a un sitio web fraudulento similar en nombre y apariencia a uno legítimo.
Estos sitios web de phishing pueden parecer inquietantemente parecidos al original a primera vista, pero hay ciertas maneras de exponerlos tal como son y mantenerse seguros.
1. Comprueba la URL
La forma más sencilla de identificar un sitio web de phishing es comprobar la URL. La mayoría de los sitios web de phishing aprovechan la falta de atención a los detalles. Asegúrese de mirar detenidamente el enlace en la barra de direcciones de su navegador o en el correo electrónico que le enviaron. Lo más probable es que sea una versión modificada de la URL del sitio web oficial.
Esté atento a errores ortográficos, sustituciones de letras y nombres de dominio extraños. Por ejemplo, un sitio web de phishing podría tener una dirección web que diga g00gle.com con el número 0 reemplazando la letra "o", o binance.com.com para confundir a los visitantes desprevenidos. Asegúrese de familiarizarse con dominios de nivel superior y cómo se seleccionan.
En algunos casos, el atacante puede emplear redireccionamientos abiertos para manipular URL legítimas y redirigir a los visitantes a sitios web maliciosos. Son más difíciles de detectar porque están integrados en dominios confiables.
Por ejemplo, un ataque de redireccionamiento abierto podría utilizar el enlace https://anexample.com/login? redirección_url= https://@nexample.com que te redirecciona desde un sitio web legítimo ejemplo.com a los maliciosos @nexample.com.
Si recibe un correo electrónico que parece un poco extraño, mire detenidamente el enlace que contiene y vuelva a verificar los parámetros.
2. Busque HTTPS y el ícono del candado
Otra buena forma de detectar un sitio web de phishing es mirar el ícono de candado en la barra de direcciones. El icono del candado debe estar cerrado y la URL debe comenzar con " https://." El protocolo HTTPS indica que el sitio web está cifrado y tiene un certificado Secure Sockets Layer (SSL).
Si la cerradura está abierta o tiene una marca roja encima, o si hay una señal de peligro roja donde debería estar, entonces su conexión con el sitio web no es segura. Los diferentes navegadores tienden a utilizar diferentes símbolos de seguridad, así que asegúrese de buscar qué utiliza su navegador.
Sin embargo, esta información normalmente no es suficiente para detectar un sitio web de phishing. De acuerdo con la Grupo de trabajo antiphishing (APWG), más de la mitad de todos los sitios web de phishing utilizan ahora certificados SSL/TLS para parecer legítimos. Por lo tanto, tener protección SSL no significa que un sitio web no robará su información privada.
Tenga en cuenta que Google Chrome ha eliminado su función de icono de candado a septiembre de 2023. En su lugar, ahora hay un ícono de melodía para indicar una conexión segura, para que los usuarios no la confundan con un sitio web confiable.
3. Examinar el contenido y el diseño del sitio web
Los sitios web de phishing tienden a construirse de manera descuidada la mayor parte del tiempo, por lo que debería haber más de unas pocas inconsistencias en el diseño y el contenido. Algunos de los marcadores de un sitio web de phishing incluyen errores gramaticales, texto/marcadores de posición "lorem ipsum", imágenes de baja calidad y arquitectura inusual del sitio. Lea más en nuestra lista de Formas de identificar un negocio legítimo..
Buscar una página "Contáctenos" a veces puede ayudarlo a identificar un sitio web de phishing. Algunos de estos sitios web fraudulentos no se molestan en incluir datos de contacto y, cuando lo hacen, no coinciden con el sitio web, ya que se copian y pegan desde otro lugar.
4. Tenga cuidado con las ventanas emergentes
Estos sitios web falsos abusan de las ventanas emergentes. Debe tener cuidado con los sitios web que muestran una ventana emergente solicitando información personal tan pronto como visita la página. Como regla general, nunca ingrese su nombre de usuario o contraseña en una ventana emergente a menos que esté seguro de que el sitio web es legítimo y seguro.
5. Utilice detalles falsos
Una excelente manera de detectar un sitio web de phishing es utilizar detalles falsos en los que se le solicita que proporcione su información personal. La mayoría de los sitios web de phishing iniciarán su sesión independientemente de lo que ingrese en el cuadro de inicio de sesión.
Algunos sitios web de phishing, por otro lado, intentan ser inteligentes y le envían un error generado automáticamente en el mismo momento. primera vez (o si la contraseña no tiene una longitud determinada), así que asegúrese de probar las credenciales falsas al menos dos veces.
6. Esté atento a la urgencia y las amenazas
Los phishers pueden emplear una falsa sensación de urgencia para lograr que la víctima potencial actúe de inmediato. Si un sitio web sospechoso intenta que usted actúe lo antes posible, es una señal de alerta.
El cronograma suele ser poco realista y palabras como “notificación”, “importante” e “inmediatamente” se utilizan para hacer que una víctima potencial actúe apresuradamente sin pensar. Tenga mucho cuidado con las amenazas u ofertas que parezcan demasiado buenas para ser verdad.
7. Consultar métodos de pago
No todos los sitios web de phishing solicitan un pago, pero los que sí suelen solicitar una criptomoneda o una transferencia bancaria porque las transacciones realizadas a través de estos medios son irreversibles. Los sitios web fraudulentos rara vez solicitan dinero mediante tarjeta de crédito o PayPal, ya que es posible revertir dichos pagos.
Si un sitio web tiene alguna de las señales de alerta antes mencionadas y solicita una transferencia bancaria o criptográfica, considérelo una señal de advertencia. Puede obtener sitios exclusivamente criptográficos, como plataformas de claves de CD que aceptan Bitcoin y Ethereum, pero debe asegurarse de que sean legítimos antes de realizar cualquier pago.
8. Utilice un detector de phishing
Los detectores de phishing emplean aprendizaje automático para identificar ataques de phishing. Esto implica analizar las URL, el contenido del correo electrónico/sitio web, el registro de dominio y otras variables para identificar elementos sospechosos. Si bien existe software antiphishing exclusivo y exclusivo, generalmente está dirigido a grandes empresas y puede resultar demasiado costoso para los individuos.
Todos los principales proveedores de correo electrónico tienen soluciones antiphishing integradas que evitan que la mayoría de estos intentos de phishing lleguen a su bandeja de entrada. Sin embargo, no son perfectos y algunas estafas tienden a pasar desapercibidas.
Además, los navegadores web como Google Chrome y Firefox utilizan el servicio de Navegación Segura de Google para advertirle sobre sitios engañosos y software peligroso. Esta configuración suele estar activada de forma predeterminada en las versiones de escritorio de Firefox y Chrome.
Puedes encontrarlo en Firefox navegando a Seguridad > Privacidad y seguridad > Seguridad > Protección de contenido engañoso y software peligroso. Asegúrese de que las tres casillas estén marcadas.
Chrome lo tiene en Ajustes > Privacidad y seguridad > Seguridad > Navegación segura. Seleccione cualquiera Protección mejorada o Protección estándar. También puede enviar cualquier sitio web engañoso que encuentre a Navegación segura para ayudar a que la Web sea más segura para todos.
Herramientas en línea como VirusTotal y URLscan.io le permiten escanear enlaces sospechosos y maliciosos en busca de malware y phishing. tanque de phishing proporciona una herramienta de búsqueda que le permite comparar un sitio web con su lista seleccionada por la comunidad de sitios web de phishing conocidos.
9. Edúcate tu mismo
Mantenerse actualizado sobre las tácticas de phishing y las estafas más comunes puede ayudarle a detectarlas desde el principio. Los recursos útiles incluyen el sitio web del Anti-Phishing Working Group (APWG) y Phishing.org.
También debe conocer periódicamente las mejores prácticas de ciberseguridad. Algunas de ellas incluyen visitar sitios web manualmente (en lugar de hacerlo desde un correo electrónico sospechoso), utilizar la autenticación de dos factores siempre que sea posible y nunca abrir archivos adjuntos sospechosos.
Tenga cuidado con los sitios web de phishing
Todas las anteriores son formas comunes de identificar un sitio web de phishing. Sin embargo, vale la pena señalar que un sitio web de phishing puede tener todas estas casillas marcadas y aún así ser muy falso. Lo importante es estar atento a este tipo de ataques y visitar el sitio web real a través de un marcador o un motor de búsqueda cuando tenga dudas.