Es difícil identificar los correos de phishing correctamente
El phishing es una técnica que utilizan los estafadores para robar información personal: se envía un correo electrónico que parece provenir de alguna entidad en la que confiamos y que nos invita a pinchar en un enlace. En el sitio de destino (que no es el que se supone que debería) se nos solicitan datos que confiadamente proporcionaremos.
Sobre este tema, tengo un par de teorías:
- Los sitios de redes sociales han destruido cualquier tipo de posibilidad de que sigamos sosteniendo ante los usuarios aquello de que no pinchen en los mensajes de correos. Sistemáticamente recibimos mensajes invitándonos a realizar acciones, y pichar enlaces; como usuarios es lo habitual. Eso hará difícil frenar a los de marquetin de nuestra empresa para tratar de hacer cosas parecidas.
- Para la mayoría de usuarios no es necesario hacer grandes montajes ni sitios que se parezcan mucho a los legítimos: hemos visto frecuentemente burdas páginas de solicitud de credenciales construidas con formularios de Google Docs (y otros sitios) sin ningún tipo de personalización, lo que parece indicar que muchos usuarios no son nada precavidos (por decirlo suavemente).
En Can you correctly identify phishing emails? nons hablan sobre un experimento de Intel que mostraba diez mensajes de correo y preguntaba a los usuarios cuáles eran legítimos y cuáles no:
An Intel Security quiz presented ten emails and asked respondents to identify which of the emails were phishing attempts designed to steal personal information and which were legitimate.
El resultado es bastante decepcionante porque sólo un 3% de los que respondieron fueron capaces de identificar correctamente todos los mensajes y el 80% de los que respondieron identificaron incorrectamente al menos uno de los correos de phishing como válido.
Habría que añadir que eso no es un problema en sí mismo, porque además de pinchar tenemos que seguir engañados a la hora de proporcionar nuestros datos y allí todavía podemos estar atentos. Aunque es cierto que en algunos casos, el hecho de pinchar en el enlace ya podría tener consecuencias desagradables:
In some cases, just clicking the link provided in the email will automatically download malware onto the user’s device. Once the malware is installed, hackers can easily steal the victim’s information without their knowledge.
Hay que estar atentos.