Una estafa de phishing es una estafa de robo de identidad que llega por correo electrónico. El correo electrónico parece provenir de una fuente legítima, como una empresa o una institución financiera de confianza, e incluye una solicitud urgente de información personal que suele invocar una necesidad crítica de actualizar una cuenta de inmediato. Al hacer clic en un enlace proporcionado en el correo electrónico, se accede a un sitio web de aspecto oficial. La información personal proporcionada a este sitio, sin embargo, va directamente al estafador.
El fraude es un problema creciente en Internet, ya que se engaña a las personas para que proporcionen información personal, incluidos números de tarjetas de crédito, contraseñas, apellido de soltera de la madre, números de cuentas bancarias, códigos de acceso de cajeros automáticos y números de seguridad social. Los protectores de virus y los firewalls no detectan la mayoría de las estafas de phishing porque no contienen código sospechoso, mientras que los filtros de spam los dejan pasar porque parecen provenir de fuentes legítimas.
Los enlaces incluidos en las estafas de phishing llevan a la persona desprevenida a un sitio web fraudulento diseñado para imitar el contenido real, a menudo hasta el más mínimo detalle, incluidos avisos de derechos de autor, títulos de submenús, etc. Es virtualmente imposible para la mayoría de las personas saber que son el objetivo de un phisher mirando solo el sitio. Sin embargo, las pistas en la dirección a veces pueden revelar el engaño.
Caracteres de aspecto similar pueden sustituirse en la ortografía del enlace por el carácter real de modo que se utilice un «1» (el número uno) en lugar de una «L» minúscula. Por ejemplo, los phishers han utilizado paypa1.com en lugar de paypal.com. Otras veces, se utiliza una dirección IP, una dirección numérica, para ocultar el hecho de que el enlace no lleva a la víctima al sitio real. Sin embargo, las estafas de phishing se han vuelto tan sofisticadas que los phishers también pueden parecer estar usando enlaces legítimos, hasta el certificado de seguridad del sitio real.
La mejor manera de que alguien pueda protegerse de las estafas de phishing es evitar proporcionar información personal a una solicitud por correo electrónico. Si la solicitud puede ser legítima, se debe llamar al departamento de servicio al cliente de la empresa para verificar la solicitud antes de proporcionar cualquier información; No se debe utilizar ningún número de teléfono incluido en el correo electrónico, si se incluye alguno. Incluso si la solicitud es legítima, se debe ingresar manualmente la dirección requerida en el navegador en lugar de hacer clic en un enlace, ya que una estafa de phisher posiblemente podría ejecutarse al mismo tiempo que un negocio legítimo.
Por ejemplo, a principios de abril de 2005, un correo electrónico masivo que parecía ser de Microsoft Corporation instó a los destinatarios a descargar una actualización de seguridad muy esperada. Aquellos que hicieron clic en el enlace del correo electrónico fueron llevados a un sitio que parecía un sitio legítimo de actualizaciones de Microsoft. Sin embargo, en lugar de actualizar su software, en realidad estaban descargando un caballo de Troya, un programa de acceso remoto que puede robar información personal. Microsoft no usa la notificación por correo electrónico de esta manera, pero muchos usuarios no se dieron cuenta.
La famosa «carta de Nigeria» fue otro tipo de estafa de phishing. Este tipo de estafa es tan frecuente que tiene su propio nombre: estafa 419. El estafador se hace pasar por un funcionario nigeriano en peligro que requiere una cuenta bancaria estadounidense para descargar dinero. La persona que permitiera el uso temporal de su cuenta recibiría una magnífica recompensa. En cambio, quienes proporcionaron su información bancaria se convierten en víctimas de robo.
En los EE. UU., La Comisión Federal de Comercio (FTC) y otros se han concentrado en la educación pública para combatir las estafas de phishing, ya que detectar a los phishers es difícil. Los sitios fraudulentos operan por períodos de tiempo muy cortos y las estafas a menudo se ejecutan desde otros países. En marzo de 2005, Microsoft presentó 117 demandas por phishing en el distrito occidental de Washington con acusados no identificados.
El Grupo de Trabajo Anti-Phishing (APWG) es una organización internacional de voluntarios que trabajan para rastrear estafas de phishing. Su sitio web mantiene una base de datos en línea de los correos electrónicos fraudulentos que se les envían. Puede consultar este sitio en busca de nuevas estafas o enviarles el correo electrónico de phisher que reciba. El APWG es en gran medida un centro de información, pero proporciona enlaces a recursos para el consumidor. La FTC también ofrece consejos para los consumidores, una dirección de correo electrónico para denunciar el phishing, en su sitio web.