This post is also available in: Português Español
Phishing es un tipo de ciberataque que tiene como objetivo engañar a los usuarios para que realicen acciones que puedan poner en peligro la seguridad de sus datos. Normalmente se realiza a través de correo electrónico, pero también se puede realizar mediante el envío de mensajes en redes sociales y SMS.
El nombre phishing proviene del inglés “fishing”, que significa pescar. En sentido figurado, el propósito del phishing es lanzar un “cebo” para tratar de engañar a las personas para que transmitan información confidencial, incluidos datos personales e información bancaria, que se utilizará en la aplicación de estafas.
Los ciberdelincuentes se hacen pasar por personas o instituciones legítimas y ampliamente conocidas, como bancos, tiendas en línea e incluso instituciones gubernamentales, para hacer creíble la estafa.
Los contenidos típicos de phishing suelen contener enlaces que, al acceder, llevan al usuario a un sitio web de características muy similares a la institución real, aumentando el poder de convencimiento del fraude. Y es en ese momento cuando la gente brinda espontáneamente información que hace posible dar los golpes de Estado.
Los correos electrónicos de phishing también pueden albergar malwares que, cuando se activan, pueden capturar datos o comprometer los dispositivos de las víctimas.
Continúe la lectura de este post para entender mejor qué es phishing, cómo surgió, su funcionamiento, sus tipos y como protegerse de esta amenaza.
El surgimiento y la evolución del phishing
Alrededor de la década de 1970, surgió una subcultura formada en torno a la práctica de utilizar hacks de baja tecnología para explotar el sistema telefónico. Fueron los primeros piratas informáticos, a los que se llamó «phreaks», una combinación de «phone» y «freaks»(fanáticos). En el pasado, cuando no había muchas computadoras en red para piratear, el phreaking era una forma común de hacer llamadas gratuitas de larga distancia o llamar a números no listados.
Incluso antes de que se utilizara el término actual phishing, una técnica de phishing se describía en detalle en un artículo y una presentación realizada ante el Grupo Internacional de Usuarios de HP, Interex, en 1987.
Fue en la década de 1990 que el uso del nombre en sí se atribuyó a Khan C. Smith, un notorio spammer y hacker. Además, la primera vez que se usó y registró públicamente el phishing fue el 2 de enero de 1996. La mención se produjo en un foro de discusión de Usenet llamado AOHell. En ese momento, America Online (AOL) era el principal proveedor de acceso a Internet y tenía millones de visitas todos los días.
La popularidad de AOL la convirtió en un objetivo para los estafadores. Los Crackers y los piratas de software utilizaron la empresa para comunicarse entre sí y realizar ataques de phishing contra usuarios legítimos. Cuando AOL decidió cerrar AOHell, los atacantes comenzaron a utilizar otras técnicas: enviarían mensajes a los usuarios de AOL haciéndose pasar por empleados de la empresa y pidiéndoles que verificaran sus cuentas y entregaran la información de facturación.
Eventualmente, el problema se volvió tan grande que AOL agregó alertas a todos los sistemas de correo electrónico y mensajería instantánea, indicando que «ningún empleado de AOL le pedirá su contraseña o información de facturación».
En la década de 2000, el phishing centró su atención en la explotación de los sistemas de pago en línea, y era común que los phishers se dirigieran a bancos y clientes de servicios de pago en línea. Algunos de los cuales podrían identificarse con precisión y coincidir con el banco real que usaron. Así mismo, los sitios de redes sociales se han convertido en un objetivo principal para el phishing, atrayendo a los ciberdelincuentes debido a sus datos personales, que son útiles para el robo de identidad.
Los ladrones registraron docenas de dominios que imitaban a eBay y Paypal tan bien que se hicieron pasar por el sitio original sin que los usuarios sospecharan. Los clientes de Paypal recibieron correos electrónicos de phishing que contenían enlaces a sitios web falsos, pidiéndoles que actualizaran sus números de tarjeta de crédito u otros datos personales.
El primer ataque conocido de phishing contra un banco fue informado por The Banker, en una publicación de The Financial Times Ltd. en septiembre de 2003.
A mediados de la década de 2000, el software turnkey de phishing estaba disponible en el mercado negro. Al mismo tiempo, grupos de ciberdelincuentes comenzaron a organizarse para realizar sofisticadas campañas de phishing.
La pérdida estimada, debido al éxito del phihsing, durante este período varía. Según un informe de 2007 de la consultora relatório de 2007 da consultoria Gartner, más de 3,6 millones de personas perdieron 3200 millones de dólares entre agosto de 2006 y agosto de 2007.
Ya en 2011, el phishing encontró patrocinadores estatales cuando una sospechosa campaña china de phishing apuntó a cuentas de Gmail de funcionarios gubernamentales y militares de alto rango de EE. UU. y Corea del Sur, así como a activistas políticos chinos.
El evento más famoso tuvo lugar en 2013, cuando se robaron 110 millones de registros y tarjetas de crédito de clientes de Target a través de la cuenta de un subcontratista de phishing.
En el primer trimestre de 2016, se lanzó la campaña de phishing de Fancy Bear (un grupo de ciberespionaje asociado a la agencia de inteligencia militar rusa GRU) contra direcciones de correo electrónico vinculadas al Comité Nacional Demócrata.
En 2017, una estafa masiva de phishing engañó a los departamentos de contabilidad de Google y Facebook para que transfirieran dinero, por un total de más de $100 millones, a cuentas bancarias en el extranjero bajo el control de un ciberdelincuente.
Desde entonces, los ataques de phishing han ido en aumento. Las campañas son cada vez más sofisticadas y el número de víctimas no hace más que aumentar.
¿Cómo funciona el phishing?
Como en la pesca real, hay más de una forma de enganchar a una víctima.
Los ataques de phishing no se centran en la vulnerabilidad de las máquinas, los sistemas o el software. El enfoque de las estafas de phishing es la vulnerabilidad humana. En otras palabras, el factor humano.
O sea, el ciberdelincuente lanza la estafa y espera que la víctima muerda el anzuelo y crea en el fraude.
En los casos de ataques de phishing por correo electrónico, las víctimas suelen recibir un mensaje con una solicitud urgente, que puede contener enlaces y archivos adjuntos maliciosos.
Otra característica de estos ataques es que estos correos siempre los envían personas o empresas aparentemente de confianza, como por ejemplo el director de tu banco, Apple, Microsoft o Netflix.
La mayoría de las personas han recibido al menos una vez un correo electrónico sospechoso que trató de persuadirlos para que hicieran clic en un enlace, descargaran un archivo, completaran un formulario o les proporcionaran la información de su tarjeta de crédito.
De eso se tratan las estafas de phishing. Así es como ocurren los ataques.
Phishing con enlace malicioso
Cuando tiene una URL o enlace malicioso, el mensaje de correo electrónico le pedirá a la persona que haga clic en el enlace y actualice su información de pago, por ejemplo.
Lo que la víctima no sabe es que el enlace lo dirigirá a una página falsa, que se parece mucho al sitio web oficial real. Al facilitar los datos, la víctima acaba enviando su información al ciberdelincuente.
Phishing con archivo adjunto malicioso
Si el phishing contiene un archivo adjunto malicioso, el principal riesgo es hacer clic en el archivo y ser infectado con malware, como un Troyano, virus, spyware o o ransomware, por ejemplo.
El gran problema del malware es que pueden comprometer información importante e incluso causar daños irreparables.
En el caso del ransomware, por ejemplo, los datos y sistemas son secuestrados y bloqueados, lo que puede paralizar el funcionamiento de toda una empresa. Para liberarlos, los ciberdelincuentes exigen el pago de un rescate.
Características de las estafas
Como vimos anteriormente, con el tiempo, las estafas de phishing han evolucionado en términos de sofisticación, lo que las hace más difíciles de detectar.
Sin embargo, la gran mayoría de los ataques tienen algunas características en común. Échales un vistazo para estar atento.
Asuntos urgentes
Si el correo electrónico se refiere a una súper oferta o requiere que tomes medidas rápidamente, mantente alerta. El sentido de urgencia es una de las principales características del Phishing.
Promesas milagrosas
Los mensajes sobre productos milagrosos y promesas suelen ser estafas. No interactúes con correos electrónicos que prometen ganancias financieras rápidas o curas milagrosas para enfermedades. Recientemente, la temática asociada al COVID-19, ha sido muy utilizada en estrategias de phishing, debido al impacto que ha causado el virus alrededor del mundo.
Remitentes y direcciones de correo electrónico sospechosos
Los ciberdelincuentes a menudo usan direcciones de correo electrónico similares a las legítimas, simplemente agregando o invirtiendo letras. Por lo tanto, es importante estar siempre al tanto del remitente y verificar cuidadosamente de dónde vino el mensaje.
Errores ortográficos y gramaticales
Otra señal que está muy presente en las estrategias de phishing son los errores gramaticales y ortográficos en el correo electrónico o mensaje enviado. En todo caso, es importante destacar que esta característica tiende a ser menos frecuente con la especialización de los ataques.
Enlaces y archivos adjuntos sospechosos
Los phishers a menudo usan enlaces maliciosos. Siempre examine cuidadosamente los enlaces contenidos en los correos electrónicos antes de hacer clic. Si ha hecho clic en un enlace, analice la dirección y características de la página y, en caso de duda, no transmita ningún tipo de información personal.
Cuando se trata de archivos adjuntos, estos pueden ser más peligrosos, ya que involucran malware y otras amenazas, como ransomware, troyanos y spyware.
Por lo tanto, evite interactuar con archivos adjuntos que tengan características sospechosas.
Solicitud de información confidencial
Independientemente del remitente, desconfíe de cualquier mensaje que solicite información confidencial, como datos de tarjetas de crédito, lista de contactos de empleados de la empresa o cualquier otra información que se salga de lo común y pueda ser utilizada para obtener ventajas.
Principales tipos de Phishing
El denominador común entre todos los ataques de phishing es el disfraz. Los ciberdelincuentes alteran el remitente para que parezca que fue enviado por otra persona, crean sitios web falsos que se asemejan mucho a los sitios web en los que confía la víctima y utilizan conjuntos de caracteres similares a las URL de los sitios web legítimos.
Aún así, hay una variedad de técnicas que caen bajo el concepto de phishing. Hay diferentes formas de dividir los ataques en tipos. Véalo a continuación.
Spear phishing
El spear phishing es muy similar al phishing «tradicional». La gran diferencia es que, en lugar de realizar grandes ataques, dirigidos a diferentes grupos de personas y empresas, esta variante de phishing roba información específica de organizaciones seleccionadas con precisión.
La propiedad intelectual o datos sensibles y confidenciales, que se mantienen en conocimiento de un grupo muy selecto de colaboradores corporativos, así como datos financieros o militares, es la principal información que buscan adquirir estos ciberdelincuentes.
Este tipo de ataques, como se mencionó, funcionan a través de correos electrónicos. Se envía un mensaje en nombre de organizaciones creíbles o de un remitente con el que la víctima ya se ha puesto en contacto. El contenido del mensaje es el cebo principal y, para que el crimen se complete, el objetivo solo necesita hacer clic. Por lo general, la víctima es enviada a un sitio web, donde proporciona sus datos personales, o corporativos. Es a partir de este envío de información que se produce el robo.
Además, las víctimas corren un mayor riesgo porque los ataques de spear phishing son muy personalizados y saben exactamente cómo atacar. Según una encuesta realizada por la firma de seguridad Proof, dos de cada cinco empresas han sufrido estos ataques. De ellos, el 40% dijo que el contenido del email se refería a viajes y paquetes turísticos, el 30% a redes sociales y otro 7% a ventas online. por esto, todas las precauciones son insuficientes.
Whaling/fraude del CEO
Cuando los ciberdelincuentes apuntan a personas con el cargo de director general, este tipo de ataque se denomina “cacería de ballenas”. Estos atacantes a menudo dedican tiempo a perfilar el objetivo para encontrar el momento y los medios adecuados para robar las credenciales de inicio de sesión.
El Whaling se considera un ataque de alta gravedad, lo que genera mucha preocupación porque los ejecutivos de alto nivel pueden tener acceso a una gran cantidad de información confidencial de la empresa
Smishing
Smishing no es más que la combinación de las palabras SMS y phishing. En otras palabras, es un fraude de phishing practicado exclusivamente a través de SMS.
En este tipo de ataques, la víctima recibe un mensaje de alerta, con la intención de recopilar información personal o hacer que el destinatario acceda a enlaces sospechosos. Suelen practicarse a nombre de bancos o entidades financieras.
Vishing
También conocido como phishing de voz, es una llamada telefónica fraudulenta diseñada para obtener información confidencial. En ellas, el ciberdelincuente llama a la víctima, haciéndose pasar por un agente de apoyo, o un representante de la empresa o del banco, solicitando datos personales, bancarios e incluso el número de tarjeta de crédito de la víctima.
BEC
El acrónimo BEC (business e-mail compromisse) se refiere a un disfraz de correo electrónico corporativo. Estos mensajes a menudo toman la forma de solicitudes «urgentes» de una empresa, haciéndose pasar por un miembro de un equipo senior, como el CEO o CMO.
Usan tácticas de ingeniería social para engañar a los miembros más jóvenes del equipo para obligarlos a realizar acciones dañinas a la empresa.
Phishing bancario
El phishing bancario consiste en sitios web falsos, similares a las páginas de instituciones bancarias, creados para engañar a los usuarios y robar sus credenciales bancarias, como tokens, contraseñas, números de cuenta, detalles de tarjetas de crédito, entre otros.
Phishing de social media
Como la mayoría de la gente hoy en día accede con frecuencia a las redes sociales, los ciberdelincuentes aprovechan este medio para aplicar sus estafas. Los atacantes a menudo investigan a sus víctimas en las redes sociales y otros sitios web para recopilar información detallada y luego planificar el ataque.
Envían un mensaje a la víctima, haciéndose pasar por una marca, hotel, posada, o cualquier otra cosa que le interese a la persona para darle más veracidad a la estafa, causando perjuicios de todo tipo a personas y organizaciones.
¿Cómo protegerse del phishing?
Al igual que con todas las demás amenazas cibernéticas, existen formas de protegerse de los ataques de phishing. Es muy importante dejar claro, sin embargo, que la mejor manera de evitar estos delitos es a través de la prevención. Las empresas deben ser conscientes de la importancia de mantener un buen ecosistema de seguridad, así como concienciar a sus empleados para evitar acceder a páginas sospechosas o realizar actividades inapropiadas, desde el punto de vista de la seguridad.
A continuación, algunos consejos que se pueden poner en práctica en el día a día para prevenir posibles ataques de phishing.hing.
Comprobar el remitente
Muchos de estos delitos se pueden evitar a href=»https://ostec.blog/seguridad-email/analizando-correos-electronicos-sospechosos»>analizando el correo electrónico del remitente. Por lo general, los delincuentes se esconden detrás de direcciones similares a las de clientes u organizaciones. Es importante prestar atención a estos pequeños detalles, que pueden marcar una gran diferencia.
No haga clic en enlaces sospechosos
Si comprobó el remitente y parece sospechoso, tenga cuidado. Evite hacer clic en estos mensajes o en cualquier enlace insertado en ellos. Pueden vincularse a sitios web creados con el único propósito de robar información. También es importante analizar si la conexión es segura, utilizando el protocolo https:// con el icono del candado.
No proporcione información confidencial
No todas las personas siguen este consejo al pie de la letra. Es sumamente importante que los gerentes y empleados sepan que no deben compartir información confidencial a través de ninguna plataforma antes de validar la veracidad del solicitante.
Tenga buenas soluciones de seguridad.
Es importante contar con características de seguridad que puedan controlar y prevenir este tipo de amenazas. Los Firewalls, correctamente configurados, pueden suplir parte de la necesidad, evitando que los clics redirijan a los usuarios a sitios maliciosos. Los cortafuegos actúan como una barrera entre la red externa (internet) y la interna (empresa). Los antispam también son funciones excelentes, ya que filtran todos los correos electrónicos entrantes y evitan que las posibles amenazas lleguen a las bandejas de entrada de los clientes.
Caso sua empresa ainda não possua boas soluções de segurança, converse com nossos especialistas e conheça o OSTEC mail Security, que reduz em até 98% a incidência de spams e phishings recebidos por e-mail, protegendo os resultados corporativos dos mas variados tipos de ameaças virtuais.
This post is also available in: Português Español