El phishing, que del inglés se traduce como pescar, como alusión a utilizar un cebo y esperar a que muerdan el anzuelo, es como se conoce a un conjunto de técnicas utilizada por delincuentes informáticos para robar datos personales, pudiendo robar el acceso a redes sociales, a cuentas bancarias o directamente realizar cargos fraudulentos en tu tarjeta de crédito.
Ya hemos hablado en el blog de las Técnicas de suplantación de correo, pero existe una cantidad enorme de técnicas y día a día aparecen nuevas maneras cada vez más especializadas para tratar de «pescarnos» los datos.
Contents
Técnicas de Phishing
Phishing general, phishing tradicional: este se basa en el envío masivo de correos, utilizando diferentes Técnicas de suplantación de correo, en las que tratan de camuflar enlaces a sitios web maliciosos, es una de las más habituales técnicas para robar credenciales de acceso o infectarnos con otro tipo de malware.
Vishing: similar al phishing, pero involucrando una llamada telefónica. Utilizado cuando el atacante ya tiene información sobre la victima y trata de convencerla para que revele datos como códigos de verificación o información sobre el sistema que usa. Es importante en estos casos nunca dar información sobre los programas que usamos en la empresa, o la versión de sistema operativo. Y sobre todo, nunca permitir el control remoto a nadie si no se está seguro de quien se trata.
Qrishing: ahora que los famosos códigos QR están por todos lados, esta técnica cogió algo de fuerza. Consiste en modificar o cambiar los códigos QR y como sucede en el caso de los correos, redireccionar las víctimas a sitios engañosos o facilitar la descarga de aplicaciones mal intencionadas.
Smishing: en este tipo de ataques el disparador o cebo es un sms, esta técnica se puede ver de dos formas. En el sms se incluye una URL en la que se solicitan los datos, la he visto tratando de convencerme de que un paquete a mi nombre estaba paralizado y debía acceder al enlace para que pudieran hacer la entrega. O también, haciéndose pasar por alguna entidad bancaria y solicitando que llamemos al teléfono que se indica, número de teléfono que pertenece al atacante. Al realizar la llamada nos solicitarán datos personales y de acceso a nuestras cuentas.
URL Phishing: utiliza las mismas artimañas que en la suplantación de correo, pero en URL o direcciones de internet. Logrando con nombres muy parecidos a los del sitio legítimo confundir a las víctimas. Es importante acostumbrarnos a leer las direcciones a las que estamos accediendo. Los navegadores suelen resaltar el nombre de dominio, al que debemos prestar especial atención.
Whaling: esta técnica se diferencia de las demás en que la víctima es un alto cargo o una persona con información de alta relevancia para los delincuentes. Es habitual cuando se busca comprometer un sistema u obtener acceso a información sensible.
Business Email Compromise (BEC): este es uno de los más temidos en cualquier empresa, normalmente está precedido de otros ataques en los que se comprometiera cuentas de correo de miembros de la propia organización o de otras organizaciones con las que se tiene trato, proveedores, clientes o subcontratas como asesorías o despachos de abogados. Este tipo de engaños son más difíciles de detectar, debido a que los atacantes tienen acceso a las conversaciones y pueden usar estos datos para hacer más creíble sus peticiones.
Spear Phishing: se trata de un ataque especialmente diseñado y dirigido a un objetivo particular. El atacante suele disponer de información de carácter personal para llegar a convencerlo tras obtener su confianza. El objetivo principal de esta técnica son personas o entidades.
Phising con evasión de filtros: existen mecanismos para detectar este tipo de ataques. Estos mecanismos se basan principalmente en el análisis de contenido, leyendo el texto y buscando palabras clave, analizando los archivos adjuntos y en el caso de gestores como Gmail y Outlook también se aprovechan del bigdata de los miles de correos recibidos por todos los usuarios de estas plataformas de correo. Una forma en la que tratan de evitar estos filtros es substituyendo los textos por imágenes, haciendo más difícil detectar patrones. En el caso de los ficheros adjuntos basta con utilizar archivos protegidos por contraseña, de este modo no solo permite al atacante evitar los filtros, además genera en la víctima una falsa sensación de seguridad.
Nigerian phishing: de este seguro que has recibido alguno, aunque hay muchas variantes, desde el príncipe nigeriano que necesita que le envíes dinero para salir del país a la viuda que necesita una pequeña cantidad de dinero para acceder a la gran fortuna que va a heredar y que estará muy agradecida de compartirla contigo.
Malware-based phishing: este modelo se basa en adjuntar archivos infectados o enlaces a programas maliciosos. En muchos casos se trata de documentos ofimáticos (excel o word) que incluyen macros o explotan vulnerabilidades para instalar virus y/o troyanos.
Content-Injection phishing: en esta situación nos encontramos con sitios web legítimos en los que los piratas logran introducir contenido para robar datos a los usuarios del sitio. Es importante como usuarios acceder a los sitios oficiales y verificar en todo momento que el dominio pertenece a la empresa con la que estamos tratando. Pero en este caso en concreto es también que los desarrolladores analicen sus sitios web en busca de vulnerabilidades que puedan ser explotadas por los atacantes y actualizar sus plataformas.
Evil Twin: esta técnica es un poco más compleja y consiste en suplantar la wifi para poder capturar todo el tráfico de los usuarios conectados. Los peligros son similares a los de conectarse a una conexión wifi abierta.
Social Network Phishing: Son ataques de phishing en los que están involucradas las redes sociales.
Hardware phishing: para que este ataque sea posible, los atacantes deben comprometer en primera instancia la linea de producción del fabricante, modificando el software preinstalado en estos dispositivos.
En el mundo del phishing estas son solo algunas de las técnicas que podemos encontrar, cada dia los ciberdelincuentes encuentras nuevas formas para engañar a sus víctimas robando datos personales, bancarios, secretos empresariales o intentando que instalemos algún software mal intencionado.
¿Cómo podemos evitar caer en la red de estos pescadores?
Algunos puntos que debemos revisar y tener en cuenta
- Desconfiar siempre cuando nos pidan datos de tarjetas o credenciales, ninguna entidad bancaria pedirá tu usuario o contraseña con la excusa de que la hubieran perdido.
- Si realizamos algún pago en linea, los datos se nos deben solicitar por medio de pasarelas de pago seguras y considero casi obligatorio si se compra en linea tener la tarjeta securizada, este es un trámite que se solicita a la entidad emisora de tu tarjeta. De este modo se asegura la compra solicitando un código de verificación enviado por sms, mediante el uso de tarjetas de coordenadas o aplicaciones OTP.
- Si alguna plataforma solicita que actualicemos nuestros datos por correo, siempre acceder directamente al sitio web en cuestión desde el navegador, evitando utilizar los enlaces que contiene el correo.
- Activar en todos los servicios que lo tengan disponible el doble factor de autenticación, como ya vimos en la entrada de este blog Las contraseñas ya no son seguras, tener un segundo factor de autenticación refuerza la seguridad de la cuenta, ya que el atacante deberá comprometer tanto la contraseña como el dispositivo generador del segundo factor de autenticación (2FA).
- Seguir los consejos que ya vimos en Técnicas de suplantación correo, en especial observando el remitente de los correos.
- Desconfiar de archivos adjuntos que no estemos esperando
- Verificar la dirección del remitente completa
- Revisar las rutas de los enlaces, posicionando el cursor sobre el enlace sin hacer click
- En caso de duda tratar el correo como no seguro y verificar por otros medios (teléfono, mensajería…) que el correo es legítimo
- Mantener todos los programas, principalmente sistema operativo y antivirus actualizados a sus últimas versiones para mitigar los intentos de phishing y otros tipos de malware.
¿A mi quien me va a atacar?
Por último y no menos importante, más de una vez he escuchado la frase «Yo no tengo nada que ocultar» o «¿A mi quien me va a atacar?, eso solo pasa a los ricos y a las grandes empresas», no debemos subestimar o pensar que no podemos ser objetivo de este tipo de ataques. Hoy en dia estos ataques no son dirigidos a objetivos específicos (que también los hay, por supuesto), son ataques masivos, diseñados para llegar al mayor número de personas posible, y totalmente automatizados. Cualquiera puede caer en la red.
¡Protégete!
Con este contenido busco compartir información sobre las amenazas reales a las que estamos expuestos todos los dias en internet, y como pueden tener una repercusión fuera del mundo digital. Comparte este artículo con tus amigos y conocidos si crees que es interesante. Conocer los retos a los que estamos expuestos nos protege a nosotros y a los demás.
Si quieres comentar este y otros asuntos relacionados con informática y tecnología no dudes en usar el formulario de contacto.
Pingback: ATENCIÓN‼️- LEER esto PODRÍA SALVARTE la VIDA 😵 - ¿Qué es el Clickbait?