El phishing es uno de los métodos más comunes de fraude en Internet y actualmente se está convirtiendo en el vector favorito para los malwares, demostrando estar increíblemente extendido y hasta el día de hoy van miles de personas afectadas
Los ataques son de muchas formas y en muchos casos se muestra, que incluso, los más experimentados y sofisticados en tecnología pueden ser atacados, como Google y Facebook, que ya han sufrido grandes pérdidas.
¿Qué es el phishing?
Phishing es un gran problema de seguridad que puede engañar hasta a los usuarios más diligentes y preocupados. ¿Cómo proteger a tu organización ?
Primero hay que comprender cómo funciona el phishing y, luego te diremos consejos prácticos para evitar que caigas en este tipo de estafas.
El phishing es un intento fraudulento de obtener información confidencial, así de fácil y sencillo y dentro de esta información puede ser nombres de usuario, contraseñas y detalles de tarjetas de crédito, entre otras.
Las personas que están detrás de esta estafa se disfrazan como una entidad confiable en e-mail o mensaje y así engañan a los usuarios en Internet.
Básicamente, esta estrategia utiliza un e-mail o un mensaje instantáneo muy bien disfrazado con un link de malware que extrae información personal.
A medida que fue creciendo, esta estafa ha generado muchas variantes, como smishing y vishing – phishing a través de SMS/mensaje de texto y mediante llamadas, respectivamente. Según el objetivo, el phishing también se puede llamar “spear-phishing”, que es un intento de robar información de una víctima específica.
¿Cómo funciona?
Al igual que en la pesca, el phishing utiliza el mismo mecanismo: te lleva a una trampa irresistible que tiene consecuencias desastrosas para robarte tus datos.
En resumen, los hackers imitan hábilmente e-mails de sitios web legítimos y populares con trampas para hacer clic, que son difíciles de evitar.
Por ejemplo, puede ser tu “CEO” enviando por e-mail un link a una “invitación para una reunión”, un mensaje de WhatsApp de tu amigo, Netflix compartiendo algo para hacer clic, etc.
No importa el tipo de phishing, siempre tiene dos objetivos principales:
- Robar información personal: el link en el e-mail, bien disfrazado, abre un sitio web malicioso que se esconde detrás de un dominio falso de confianza, como un sitio web de un banco o una tarjeta de crédito.
- Luego te pide que ingreses información personal con urgencia. La información que proporciones puede ser utilizada para causar un daño de inmediato (robar dinero de tu cuenta, enviar spam a otras personas de tu lista de contactos, etc) o se pueden vender en la Deep Web, lo que causa consecuencias devastadoras más generalizadas, como el robo de identidad.
- Trigger Malware: en este caso, el link de phishing abre un archivo adjunto que contiene malware, como ransomware, criptofishing, etc. Este es, de hecho, el vector más utilizado para propagar otros tipos de malware.
Considera esto: estás revisando tu e-mail y recibes un mensaje de un contacto conocido que compartió un documento Google contigo.
Cuando haces clic en el botón “Google”, de aspecto muy realista, te lleva a la página de inicio de sesión normal de Google para seleccionar tu cuenta. Al seleccionar la cuenta, se lo dirige nuevamente a la página predeterminada donde pide que le permita a “Google Ads” acceder a tu cuenta. Todo parece legítimo, ¿verdad?
El problema es que este supuesto “Google Ads” es una aplicación de phishing que aprovecha el hecho de que puedas nombrar una aplicación web que no sea Google con el nombre que quieras, incluyendo “Google Docs”.
Por lo tanto, si haces clic en él, los estafadores no solo tendrán acceso total a tu e-mail, sino que también van a enviar spam similar a todos en tu lista de contactos. Esta estafa es real y fue resuelta por Google una hora después de ser denunciada, un cambio impresionante que redujo lo que podría haber sido un gran problema.
Sin embargo, esto destaca lo inteligente que puede ser el phishing. La estafa pasó por alto todas las “banderas rojas” de phishing por excelencia: remitente desconocido, URL incompleta, sitio web inseguro y, posiblemente, autenticación de dos factores.
Con eso en mente, ¿cómo podemos adoptar estrategias anti phishing?
Consejos para identificar el ataque
Como se mostró en el ejemplo anterior, aunque es una de las estafas de phishing “más inteligentes”, hipotéticamente todos podríamos hacer clic en un link como este. Incluso si tienes el software anti-spam y anti-phishing más seguro, es posible una infame estafa de phishing con un solo clic. A continuación, algunos consejos para identificar mejor los riesgos:
- Verifica el e-mail del remitente: por lo general, el nombre del remitente en un e-mail de phishing puede ser un nombre auténtico de un contacto conocido o de un banco / agencia de tarjeta de crédito.
Sin embargo, si colocas el cursor sobre el nombre del remitente, le va a revelar la dirección del e-mail sospechoso. - Verifica la URL: la misma lógica anterior se aplica a la URL. El nombre del link puede parecer legítimo, pero si pasas el cursor sobre el link y verificas que la dirección de URL es sospechosa, desconfía que es falso.
- Cuestiona el tono del e-mail: los e-mails de phishing generalmente tienen un tono típico: utilizan tácticas de miedo/intimidación que requieren una respuesta urgente (“Depósito de sueldo rechazado. ¡Actualizar información de inmediato!). Además, solicitan información personal (“Actualiza la información de tu cuenta”), y vienen con saludos genéricos (“Estimado usuario”).
En caso de duda, envía un e-mail al remitente por separado (sin opción de respuesta), visita los sitios de la empresa en una nueva guía del navegador o llama a la empresa/persona física directamente.
A nivel organizacional, algunas medidas incluyen “sandbox” de e-mail para verificar la veracidad de cada link en el que se hace clic y para inspeccionar y analizar regularmente el tráfico web. Sin embargo, lo que puede ser más eficaz es recibir información periódica de concientización sobre seguridad de la información.
Además, es muy valioso realizar ejercicios de simulación de phishing y boletines de seguridad por e-mail para garantizar que los empleados estén al tanto de los ataques cibernéticos.
Recuerda que un clic incorrecto puede infectar toda la red, dañando tus valiosos datos y la reputación de tu organización. Esto también es cierto para las aplicaciones SaaS, ya que se han convertido en las nuevas favoritas.
La mejor red de seguridad para la creciente amenaza del ciberdelito es la protección de datos.
Tipos de ataques de phishing
Estafas de e-mail
El phishing por e-mail ocurre cuando el atacante envía miles de mensajes falsos para generar información y cantidades de dinero significativas.
Como dijimos anteriormente, el atacante hace un gran esfuerzo para proteger mensajes de phishing que imitan e-mails reales de una organización conocida.
Además, los atacantes generalmente intentan poner a los usuarios en acción creando una sensación de urgencia.
Spear phishing
El spear phishing se dirige a una persona o a una empresa específica, a diferencia de los usuarios de aplicaciones aleatorias. Es una estafa de phishing más profunda, que requiere un estudio especial de una organización, incluido el conocimiento de su estructura de poder.
¿Cómo prevenir?
La protección contra los ataques phishing exige que el usuario y las empresas se movilicen de diversas formas.
Para los usuarios, la vigilancia es fundamental. Un mensaje falsificado suele contener generalmente errores imperceptibles que esconden su verdadera identidad. Eso puede incluir juegos de palabras o cambios en los nombres de dominio, como vimos anteriormente.
Para las empresas, se pueden tomar varios pasos para mitigar ataques de phishing y spear phishing:
- Autenticación de dos factores: uno de los métodos más efectivos para contener ataques phishing. Agrega una capa adicional de verificación al iniciar sesión en aplicaciones confidenciales. En la autenticación de dos factores, se espera que los usuarios tengan la contraseña y un nombre de usuario, y también tengan el dispositivo registrado, como un smartphone.
- Además de utilizar la autenticación de dos factores, las organizaciones deben aplicar políticas estrictas de gestión de contraseñas. Por ejemplo, una idea muy eficaz es pedir a los empleados que cambien con frecuencia sus contraseñas. También es importante que no se les permita reutilizar las contraseñas para múltiples aplicaciones.
Finalmente, invertir en campañas educativas también puede ayudar a disminuir la amenaza de ataques phishing, reforzando prácticas seguras como, no hacer clic en links de e-mails externos.
Espero este artículo haya sido de utilidad para que no caigas en este tipo de estafas.
Fuente: Hostgator News México
0 comentarios