De acuerdo con el informe sobre las tendencias de la actividad del phishing del segundo trimestre del año 2021, elaborado por APWG (Anti-Phishing Working Wroup), se ha determinado que, tras haberse duplicado la cantidad de ataques de phishing en el año 2020, en el año 2021 se ha mantenido similar aún encontrándose niveles elevados. Además, se ha podido observar que el mes de junio del año 2021 ha sido el tercer peor mes en relación con números de ataques de phishing, según han reportado sus clientes. El informe indica además que durante el segundo trimestre los sectores de instituciones financieras y las redes sociales fueron los más atacados en materia de phishing.
Tras notificar el número tan elevado de ataques de phishing que se producen a diario, se procede a continuación con la demostración de algunos de estos tipos de ataques de phishing realizados durante este año para tratar de concienciar a la sociedad sobre este problema y evitar así que caigan en estos tipos de ataques.
En la primera imagen difundida por la Policía Nacional, se puede observar un nuevo tipo de fraude bancario que combina tres tipos de ataques de phishing para poder robar la información de un individuo. En primer lugar, el phishing donde crean una página web similar a la de una entidad bancaria real, posteriormente un smishing; donde envían un SMS fraudulento y por último el vishing haciéndose pasar por uno de los trabajadores de la entidad bancaria, para poder robarle los datos y credenciales de su cuenta bancaria.
A continuación, se encuentran ejemplos de campañas de phishing que tratan de suplantar a diferentes entidades bancarias para obtener información personal de sus clientes.
En primer lugar, se puede observar un intento phishing suplantando a la entidad financiera “Bankia”, en el cual afirman haber bloqueado la cuenta de un cliente de la entidad y solicitan su ayuda para desbloquearla. Se puede apreciar como el remitente del correo es un Hotmail que no tiene nada que ver con Bankia y, posteriormente la entidad confirmó que se trataba de un intento de phishing.
En este otro ejemplo se puede apreciar otro intento de phishing suplantando a la entidad financiera “Santander”; esta vez a través de SMS, solicitando al cliente que confirme información personal para evitar que se suspenda su cuenta. Nuevamente la entidad financiera ha corroborado posteriormente que se trata de un intento de phishing.
En este otro caso se trata de un phishing a la entidad bancaria “CaixaBank” que, con un mensaje similar al mencionado en los anteriores intentos de phishing en las otras entidades bancarias, solicita actualizar la información personal de la cuenta de uno de sus clientes para poder acceder a ella, en este caso utilizando como pretexto un nuevo sistema de seguridad web. Nuevamente, la entidad bancaria real confirma que se trata de un phishing y solicita que reenvíe el correo a una dirección de correo de la compañía para poder gestionarlo.
A continuación, se puede observar un phishing suplantando a la empresa de ropa y complementos “Primark”, el cual afirma que, tras rellenar una encuesta con datos personales, recibirás diferentes conjuntos de ropa de forma gratuita.
Entre la información que se solicita se encuentran el nombre y los apellidos, un número de teléfono, correo electrónico, fecha de nacimiento, dirección del usuario, etc.
De acuerdo con diferentes declaraciones que ha realizado la empresa de venta de ropa en anteriores ocasiones, nunca solicitarían información personal de sus clientes de esta manera.
Otro ejemplo de phishing que es recurrente es el caso del intento de suplantación de la Seguridad Social. Este tipo de ataque lleva viéndose desde hace años, y ya en el 2020 desde la OSI (Oficina de Seguridad del Internauta) difundieron un tweet en el cual afirmaban que la Seguridad Social no estaba ofreciendo ningún tipo de reembolso por vía email y que, si algún usuario recibía este tipo de correos, debían eliminarlos sin dar ningún tipo de información personal.
Este año 2021, diferentes usuarios han vuelto a recibir por vía email correos electrónicos de la supuesta Seguridad Social comunicándoles que recibirían una devolución de dinero al pinchar en un enlace que se encontraba en dicho correo.
Desde el organismo público han comunicado que, si algún ciudadano recibe este tipo de correo, debe eliminarlo directamente y que si tiene algún tipo de duda debe comunicarse con la Seguridad Social para corroborar dicho correo. El organismo ha advertido además que "no descargues ninguna aplicación, ni pinches en los enlaces o archivos adjuntos", ya que se trata de un phishing que trata de suplantar a la Seguridad Social.
Como se ha podido observar, los ataques de phishing están a la orden del día y en casi cualquier tipo de empresa puede darse esta suplantación y realizarse este tipo de ataque. Por este motivo, es de vital importancia que la ciudadanía sea consciente de que esto puede ocurrir y que evite dar información personal por internet, puesto que en no es habitual que desde entidades bancarias u otras empresas te soliciten información personal a través de correos electrónicos o SMS. Así mismo, si alguna persona tiene dudas con la legitimidad del correo, SMS, etc., antes de hacer pinchar en los enlaces que aparecen en los correos, deberá comunicarse con la entidad real y consultar si han enviado algún tipo de correo solicitando sus datos.
