En el primer trimestre de 2016, los ataques de phishing crecieron un 250%, según un informe de APWG. La agresividad y sofisticación de los ataques es cada vez mayor, y grandes empresas como Dropbox o Linked in también se han visto afectadas.
Recientemente, Esendex ha sufrido un intento de ataque de phishing, por lo que esta publicación tiene como objetivo alertarte sobre algunas prácticas que pueden afectar a la seguridad de tu sistema, y aconsejarte sobre cómo protegerte y qué medidas puedes tomar como empresa si resultas afectado.
1. Fíjate en las extensiones de dominio inusuales
En marzo de 2016, se registraron 882 extensiones de dominio -en este infográfico puedes ver una lista de todas ellas- ideadas para utilizarse por empresas y organizaciones, pero que en muchas ocasiones presentan la oportunidad perfecta para que hackers las utilicen de forma ilícita.
En Esendex, hemos sufrido de primera mano que terceras personas hayan comprado extensiones de dominio con nuestra marca como esendex.pro, esendex.me o esendex.top para utilizarlas de manera fraudulenta. A través de estos dominios y creando una copia falsa de nuestra página web, se ha intentado engañar a nuestros clientes para captar sus datos de acceso (usuario y contraseña). A continuación te mostramos un ejemplo:
Como puedes ver, ambas páginas web son muy parecidas, pero hay ciertas diferencias que pueden alertarte cuando te encuentres ante una página web falsa: el nombre de dominio, el uso de https, el símbolo de bloqueo, y el aviso de copyright, son indicadores de que una página es segura, por lo que te recomendamos que te fijes en ellos cuando vayas a introducir tus datos en cualquier portal online.
Tus opciones como empresa para prevenir este tipo de ataques son bastante limitadas: puedes alertar del uso ilícito del dominio a la empresa que lo haya proporcionado (puedes usar https://www.whois.net/ para identificar a la empresa que ha vendido el dominio), y ellos deberían restringir el acceso al dominio y de esta manera, impedir el acceso a la página ilícita
Sin embargo, a largo plazo, la opción más efectiva es la de educar a tus clientes: informar a tus clientes del problema y asegurarse de que conocen la URL correcta para acceder a tus servicios es clave en estos casos.
En nuestro caso, la forma más segura de acceder a nuestra plataforma online Echo, es haciendo click en el botón “Login” que encontrarás en la parte superior derecha de nuestra página web, https://www.esendex.es/, o a través de este enlace: https://login.esendex.com/.
Como ves, los enlaces proporcionados tienen extensiones de dominio familiares como, .es o .com.
2. No confíes ciegamente en los anuncios de Google
Al igual que muchas empresas, Esendex anuncia su propia marca en Google Adwords, por lo que cuando alguien busca ”Esendex”, verá a Esendex en la parte superior de los resultados como un enlace patrocinado (indicado por el botón verde “Anuncio”).
Sin embargo, no hay nada que impida que un tercero también “puje” en Google por la marca de Esendex, o por tu propia marca; Google permite desde hace unos años que esto sea posible para fomentar la competitividad, pero desgraciadamente esta práctica puede tener resultados como este:
La empresa Bitcoin fue víctima de este tipo de tácticas en 2016, e irónicamente incluso Google Adwords ha tenido una experiencia similar.
Si utilizas Google Adwords, puedes prevenir este tipo de situaciones configurando alertas que te informen si alguien ha sobrepasado tu posición en Google. De esta manera, cuando algún usuario busca tu marca y tu anuncio no se muestre en primera posición, tu puja aumentará automáticamente para alcanzar de nuevo la primera posición.
Si por otro lado resultas atacado, puedes y debes informar de esta actividad fraudulenta a Google, quien tomará las medidas pertinentes para cerrar la cuenta que se hace pasar por tu marca.
Google cerró 7.000 páginas web de phishing en 2015, y esta cifra va aumentando con el paso del tiempo.
3. Cambia tu contraseña regularmente
https://haveibeenpwned.com/ Es un recurso útil para comprobar si tu dirección de correo electrónico ha sido atacada en los hacks más famosos de los últimos años, ya que comprueba en bases de datos robadas si tu correo electrónico está entre ellas. Si lo está, será una clara señal de advertencia para que cambies todas tus contraseñas.
Sin embargo, las mejores prácticas para mantenerte a ti y a tu empresa seguras en todo momento son muy simples:
1. Cambia tus contraseñas cada seis meses
2. Utiliza contraseñas diferentes para cada plataforma online que utilices
3. Evita contraseñas fáciles de adivinar (Esta página te puede ayudar a generar contraseñas de alta seguridad: https://lastpass.com).
¿Ha sufrido tu empresa ataques de phishing? Por favor comparte tus experiencias y permanece seguro online.
