Los ataques de Phishing han sido una difícil situación para individuos y organizaciones desde la invención del correo electrónico. Últimamente, estos ataques se han vuelto más sofisticados y difíciles de detectar. Los ataques de phishing son uno de los métodos más comunes que utilizan los hackers para infiltrarse en las cuentas y redes de las víctimas. Según Symantec, uno de cada 2000 correos electrónicos son ataques de phishing, lo que significa que hay 135 millones de ataques cada día .
Si bien los ataques de phishing ya son frecuentes, tendemos a ver un aumento significativo en tiempos de crisis. Los estafadores se aprovechan del caos y la confusión causados por estos eventos trascendentales. Muchas personas esperan recibir correos electrónicos de fuentes oficiales, como organizaciones de expertos,compañías de seguros, entidades gubernamentales, etc., dejando una amplia oportunidad para que los estafadores colen sus correos electrónicos «lo suficientemente reales» en la refriega. Estos correos electrónicos aparentemente inocuos tienen la intención de redirigir a los usuarios a sitios fraudulentos, tratando de engañar a los usuarios para que ingresen información confidencial.
¿Qué es el phishing?
En pocas palabras, el phishing es una táctica en la que los estafadores envían correos electrónicos fraudulentos e intentan engañar a los destinatarios para que hagan clic en un enlace malicioso o descarguen un archivo adjunto infectado para robar su información personal. Estos correos electrónicos pueden parecer de organizaciones, como minoristas y bancos, o de individuos y equipos dentro de su organización, como Recursos Humanos, su jefe o incluso el CEO.
Si sus empleados no conocen los signos de una estafa de phishing, toda su organización está en riesgo. Según Verizon, el tiempo promedio que le tomó a la primera víctima de una campaña de phishing a gran escala hacer clic en un correo electrónico malicioso fue de 16 minutos. Un usuario tardó el doble de tiempo (33 minutos) en denunciarle la campaña de phishing .
Dado que el 91% de los delitos cibernéticos se inician a través de una campaña de correo electrónico de phishing exitosa, estos 17 minutos podrían significar un desastre para su empresa.
Métodos comunes de ataque de phishing
Como se mencionó anteriormente, la mayoría (si no todas) las estafas de phishing comienzan con un correo electrónico que parece que se envió desde una fuente legítima, pero los métodos de ataque e infiltración pueden diferir de allí. Algunas de estas técnicas de phishing pueden ser tan simples como engañar a alguien para que haga clic en un enlace para ingresar información confidencial o tan complicadas como ejecutar un archivo ejecutable que falsifica un proceso legítimo que obtiene acceso en secreto a su computadora y red para ejecutar software malicioso en segundo plano.
Las estafas de phishing comúnmente utilizan múltiples métodos de engaño dentro de un solo ataque. Por lo general, estas estafas utilizan la manipulación de enlaces y la falsificación de sitios web en conjunto para que su estafa sea lo más convincente posible. Cuando recibes un correo electrónico de phishing, una de las primeras cosas que verás es una URL aparentemente legítima a un sitio web conocido y de confianza como Facebook, Amazon, YouTube, etc. con un mensaje que le incita a hacer clic en el enlace. Estos mensajes incitarán a los usuarios a ingresar información confidencial alegando que hay un problema con su cuenta o pedido que debe resolverse, y aquí es donde entra en juego la falsificación del sitio web.
Mientras que el enlace puede parecer real «amazon.com» enlace, pequeños errores tipográficos o inconsistencias con el dominio a menudo revelan su verdadera naturaleza. Estos dominios fraudulentos a menudo se conocen como dominios typosquat. Estos sitios maliciosos están diseñados para parecerse lo más posible a la página web real, engañando a víctimas sin pretensiones para que ingresen sus credenciales para que el hacker las robe y las use en el sitio real.
Los hackers a menudo también adjuntan un archivo de aspecto legítimo o incluyen un enlace que, al hacer clic, descargará en secreto software malicioso que se incrustará en los sistemas de la víctima. Estos ataques a menudo inyectan malware que se disfraza como un ejecutable legítimo que se ejecutará en segundo plano, moviéndose lateralmente a través de la red de usuarios para robar información confidencial como cuentas bancarias, números de seguro social, credenciales de usuario y más. A veces, el malware incluye ransomware que se abrirá paso a través de la red de la víctima, cifrando y filtrando datos confidenciales para pedir rescate.
Tipos de ataques de phishing
El método de ataque más común utilizado por los estafadores de phishing es lanzar una amplia red. Enviarán correos electrónicos genéricos de sitios de uso común a tantas personas como sea posible con la esperanza de engañar a unos pocos para que caigan en sus trucos. Si bien este método es efectivo, no es la única forma en que los phishers atrapan una captura. Algunos estafadores usarán métodos más precisos como el spear phishing, el clon phishing y la caza de ballenas para hacer el trabajo.
Spear Phishing y caza de ballenas
Al igual que los ataques de phishing generales, el spear-phishing y la caza de ballenas utilizan correos electrónicos de fuentes confiables para engañar a sus víctimas. Sin embargo, en lugar de lanzar una amplia red, el spear phishing se dirige a personas específicas o se hace pasar por una persona de confianza para robar credenciales o información.
Al igual que el spear phishing, la caza de ballenas crea campañas en torno a un objetivo específico, pero con un pez más grande en mente. En lugar de apuntar a un grupo amplio como un departamento o equipo, estos atacantes canalizan a su Capitán Ahab interno apuntando su lanza a objetivos de alto nivel como ejecutivos o personas influyentes con la esperanza de lanzar su ballena blanca. Los cazadores de ballenas buscan hacerse pasar por altos directivos como directores ejecutivos, directores financieros,el jefe de Recursos Humanos, etc., para convencer a los miembros de una organización de revelar información confidencial que sería de valor para los atacantes. Para que una excursión de caza de ballenas tenga éxito, los atacantes deben realizar una investigación más profunda de lo habitual, con la esperanza de hacerse pasar por su ballena con precisión. Los atacantes buscan usar la autoridad de la ballena para convencer a los empleados u otras ballenas de que no investiguen o cuestionen sus solicitudes.
Anecdóticamente, personalmente he sido blanco de un ataque de ballena en una empresa anterior donde un estafador se hizo pasar por mi CEO, pidiéndome mi número de teléfono para que pudieran llamarme para pedirme un favor. Afortunadamente, el correo electrónico tenía muchos signos reveladores de fraude. La más obvia es que la oficina del CEO estaba a solo 10 pies de mi escritorio, ¡así que podría haber caminado fácilmente si me necesitaba!
Phishing de clones
Los ataques de phishing de clones son menos creativos que la pesca con lanzas y ballenas, pero siguen siendo muy efectivos. Este estilo de ataque tiene todos los inquilinos principales de una estafa de phishing. Sin embargo, la diferencia aquí es que en lugar de hacerse pasar por un usuario u organización con una solicitud específica, los atacantes copian un correo electrónico legítimo que ha sido enviado previamente por una organización de confianza . Los hackers luego emplean la manipulación de enlaces para reemplazar el enlace real incluido en el correo electrónico original para redirigir a la víctima a un sitio fraudulento para engañar a los usuarios para que ingresen las credenciales que usarían en el sitio real.
Ejemplos de estafa de Phishing por correo electrónico
Es común que los estafadores falsificen correos electrónicos de apariencia oficial de minoristas como Amazon o Walmart, alegando que necesita ingresar sus credenciales o información de pago para asegurarse de que puedan completar su pedido. Los enlaces incrustados en el correo electrónico lo llevarán a una página de destino de aspecto genuino para ingresar su información confidencial.
Con más personas comprando en línea que nunca antes debido a la pandemia y al cambiante panorama del comercio minorista digital, los estafadores trabajarán horas extras este año. Durante la temporada navideña, este tipo de estafas aumentan exponencialmente debido a la compra de regalos. Muchas personas tienen tantas compras que no lo piensan dos veces antes de que haya un problema con sus pedidos.
Un ejemplo de estafa de phishing que ha experimentado un repunte durante la temporada navideña de 2020 es un correo electrónico falso de Amazon que informa a los clientes de que necesitan iniciar sesión para actualizar su información de pago y envío para completar su pedido .
Por experiencia personal, recibo correos electrónicos constantes de Amazon sobre envíos, fechas de llegada, confirmaciones,etc. Si no supiera qué buscar en estos ataques, caería fácilmente en la estafa.
La anatomía de un correo electrónico de phishing
Hemos desglosado los componentes más comunes de un correo electrónico de phishing. Echa un vistazo a nuestra infografía completa para probar tus conocimientos.
Línea de asunto
Las campañas de phishing suelen tener como objetivo crear una sensación de urgencia utilizando un lenguaje intenso y tácticas de miedo, empezando por la línea de asunto del correo electrónico.
Campo»De»
El correo electrónico parecerá provenir de una entidad legítima dentro de una empresa reconocida, como el servicio de atención al cliente. Sin embargo, al mirar más de cerca, puede ver que tanto el nombre como la dirección de correo electrónico del remitente son una falsificación de una marca conocida, no un proveedor real.
Campo»Para»
Los correos electrónicos de phishing a menudo son impersonales y se dirigen al destinatario como «usuario» o «cliente».»
Copia del cuerpo
Al igual que con la línea de asunto, la copia del cuerpo de un correo electrónico de phishing suele emplear un lenguaje urgente para animar al lector a actuar sin pensar. Los correos electrónicos de phishing a menudo también están plagados de errores de gramática y puntuación.
Enlace malicioso
Un enlace sospechoso es uno de los principales regalos de un correo electrónico de phishing. Estos enlaces a menudo se acortan (a través de bits.ly o un servicio similar) o están formateados para que parezcan un enlace legítimo que se corresponda con la empresa y el mensaje del correo electrónico falso.
Tácticas para asustar
Además del lenguaje urgente, los correos electrónicos de phishing a menudo emplean tácticas para asustar con la esperanza de que los lectores hagan clic en enlaces maliciosos por alarma o confusión
Cierre de sesión de correo electrónico
Al igual que con el saludo del correo electrónico, el cierre de sesión a menudo es impersonal, generalmente un título genérico de servicio al cliente, en lugar del nombre de una persona y la información de contacto correspondiente.
Pie de página
El pie de página de un correo electrónico de phishing a menudo incluye signos reveladores de una falsificación, incluida una fecha de copyright incorrecta o una ubicación que no se corresponde con la de la empresa.
Página de destino maliciosa
Si hace clic en un enlace de phishing, a menudo se le llevará a una página de destino maliciosa
Cómo prevenir ataques
La mejor defensa contra las campañas de phishing es el conocimiento. Los atacantes crean estafas de phishing para parecer lo más convincentes posible, pero a menudo tienen signos reveladores que revelan la farsa. Requerir capacitación regular en seguridad de datos e ingeniería social es un excelente método de prevención que ayuda a su organización a conocer los signos de correos electrónicos maliciosos.
Estas son algunas de las cosas que puedes comprobar cada vez que recibes un correo electrónico en el que te piden que hagas clic en un enlace, descargues un archivo o compartas tus credenciales, incluso si parece que proviene de una fuente de confianza:
- Verifique dos veces el nombre y el dominio del que proviene el correo electrónico
-
- La mayoría de los correos electrónicos legítimos no vendrán de @gmail.com, @live.com, etc. Por lo general, serán de dominios privados
-
- Compruebe si hay errores ortográficos obvios en el asunto y el cuerpo
- Las líneas «para» y «de» son genéricas
- No comparta credenciales: los remitentes legítimos nunca las pedirán
- No abra ningún archivo adjunto ni descargue ningún enlace sospechoso
- Informe de correos electrónicos sospechosos a quien maneje su seguridad informática
Si incluso sospecha que ha recibido un correo electrónico de phishing, no haga clic en él ni en ningún archivo adjunto. En su lugar, señálelo e infórmelo a las autoridades competentes. Eso puede ser para el departamento de TI de su organización, la empresa a la que se está falsificando el correo electrónico o su proveedor de dominio de correo electrónico como Google, Microsoft, etc.
No muerdas el anzuelo
El conocimiento es poder cuando se trata de proteger contra ataques de phishing. Estos estafadores confían completamente en que caigas en su artimaña para que su estafa tenga éxito. Incluso si crees que eres un experto en detectar estafas de phishing, no puedes bajar la guardia; el peligro acecha detrás de cada enlace. Las técnicas de phishing y los correos electrónicos seguirán siendo más sofisticados y difíciles de detectar a medida que pase el tiempo. Mientras nuestra vida cotidiana siga digitalizada, los hackers siempre estarán ahí para explotar a personas inocentes con fines de lucro. La mejor manera de mantenerse seguro y mantenerse al tanto de todo es continuar educándose sobre las formas más actuales de estafas de phishing.