Los ataques phishing emplean e-mails falsos y páginas web fraudulentas diseñados para engañar a sus receptores haciéndoles divulgar datos financieros personales tales como números de tarjetas de crédito, nombres y passwords de cuentas, números de la seguridad social, etc... Suplantando la verdadera imagen de reconocidos bancos, vendedores on-line y compañías financieras, los datos revelan que los phishers son capaces de convencer a sus "víctimas", de las cuales cerca del 5 por ciento responden a su solicitud y como consecuencia sufren posteriormente fraude con sus tarjetas de crédito, robo de identidad y pérdidas económicas.

El Anti-Phishing Working Group (APWG), asociación estadounidense encaminada a acabar con los peligros derivados del phishing y el spoofing de e-mails, ha dado a conocer los resultados de su último informe mensual sobre Ataques Phishing y del que cabe destacar los siguientes datos:

Durante Mayo el grupo registró 1197 ataques únicos, un 6 por ciento menos que en Abril, con un porcentaje de 38,6 por día frente al 37.5 del pasado mes. Destacar que dos semanas se sobrepasó los 300 incidentes con una significativa caída la semana del 29, debido probablemente al Día del Trabajo en USA. 

Por otra parte, en cuanto a las compañías más atacadas vuelve a situarse en primera posición Citibank, con la cifra de 370 ataques, si bien ha reducido su número de ataques un 22 por ciento con respecto al mes anterior. Le sigue el portal de subastas on-line, eBay con 293 y U.S. Bank que alcanzó los 167, un 170% más que en abril.

Paypal que desde el comienzo de este servicio del APWG hace 7 meses viene alcanzando la tercera posición en esta ocasión pasa en Marzo a una cuarta posición con 149 ataques registrados.

Otros nombres relevantes que aparecen en el informe son Visa, con 21 ataques, bastantes si se tiene un cuenta que no se tuvo constancia de ninguno durante Abril, y AOL con 17 que duplicó su cifra.

De aquí se desprende que los Servicios Financieros son las web más suplantadas por los phishers, no sólo encabezan la lista por el mayor número de ataques sino también por el número de compañías afectadas. Le sigue el sector de las ventas y el de los ISPs, pero con cifras poco significativas, 33 ataques frente a los 848 del sector líder.

En lo referente a la procedencia de los e-mails que dan origen a la cadena de ataques indicar que el 95% emplearon direcciones de correo suplantadas. Además, actualmente un pequeño porcentaje utilizó la "ingeniería social" (3%) o direcciones Webmail no "disfrazadas" (2%).

Los correos que hacen uso de la ingeniería social emplean auténticos dominios de Internet que parecen similares a las direcciones empleadas por las compañías atacadas. Por ejemplo, un e-mail puesto en circulación para atacar a Visa fue support@verify-visa.org, una dirección no válida para VISA, pero empleada para intentar engañar a los receptores haciéndoles creer que ciertamente proviene de esta compañía.

Este tipo de e-mails, que pueden poner en peligro los servicios de e-commerce o la banca por Internet, costaron el pasado año a los bancos y a las compañías de tarjetas de crédito estadounidenses 990 millones de euros, según una reciente investigación de la consultora Gartner Group. Como indicábamos ayer con la estafa millonaria gracias a dialers descubierta en España, el phishing ha hecho que muchos fabricantes comiencen a ampliar su oferta y desarrollen también herramientas anti-phising pero debemos insistir en que es el propio usuario el que tiene que debe tomar precaución ante cualquier e-mail que reciba. Desgraciadamente, las nuevas amenazas nos obligan ya a desconfiar incluso de todos y cada uno de los correos que recibimos en nuestro buzón.