El phishing es uno de los métodos más tradicionales de fraude en Internet y se está convirtiendo rápidamente en el vector favorito para los malwares, demostrando estar increíblemente extendido, ¡varias empresas informan haber sufrido este problema! Los ataques son diversos. Numerosos casos muestran que incluso los más experimentados y sofisticados en tecnología pueden ser atacados, […]
El phishing es uno de los métodos más tradicionales de fraude en Internet y se está convirtiendo rápidamente en el vector favorito para los malwares, demostrando estar increíblemente extendido, ¡varias empresas informan haber sufrido este problema!
Los ataques son diversos. Numerosos casos muestran que incluso los más experimentados y sofisticados en tecnología pueden ser atacados, como Google y Facebook, que ya han sufrido grandes pérdidas.
Las estafas también “siguen los tiempos”, utilizando trampas populares, como el Mundial, por ejemplo, y otros elementos que explotan la curiosidad humana. En este artículo comprenderás mejor qué es y cómo protegerte del phishing.
¿Qué es phishing?
Phishing es un problema de seguridad crítico que puede engañar hasta a los usuarios más diligentes y preocupados. ¿Cómo proteger a tu organización de ser un pez más en el mar?
Comenzamos por comprender cómo funciona el phishing y, luego pasamos a consejos prácticos para evitar que muerdas la trampa.
Como puedes ver, el phishing es un intento fraudulento de obtener información confidencial. Esta información puede ser nombres de usuario, contraseñas y detalles de tarjetas de crédito, por ejemplo.
Las personas detrás de la estafa se disfrazan como una entidad confiable en e-mail o mensaje instantáneo y así engañan a los usuarios en Internet.
Básicamente, esta estrategia utiliza un e-mail muy bien disfrazado con un link de malware que extrae información personal.
El “phishing” entró en la cultura popular en 2004 y, desde entonces, se ha prolongado constantemente año tras año. A lo largo de los años, y con el avance de la tecnología, ¡la cantidad de ataques de phishing ha aumentado mucho!
A medida que fue creciendo, esta estafa ha generado muchas variantes, como smishing y vishing – phishing a través de SMS/mensaje de texto y mediante llamadas, respectivamente. Según el objetivo, el phishing también se puede llamar “spear-phishing”, que es un intento de robar información de una víctima específica.
¿Cómo funciona?
Al igual que en la pesca, el phishing utiliza el mismo mecanismo: te lleva a una trampa irresistible que tiene consecuencias desastrosas para tus datos.
En resumen, los hackers imitan hábilmente e-mails de sitios web legítimos y populares con trampas para hacer clic, que son difíciles de evitar. La ingeniería social inteligente se utiliza para hacer que incluso los más inteligentes den el clic fatal.
Por ejemplo, puede ser tu “CEO” enviando por e-mail un link a una “invitación para una reunión”, un mensaje de WhatsApp de tu amigo, Netflix compartiendo algo para hacer clic, etc.
No importa el tipo de phishing, siempre tiene dos objetivos principales:
- Robar información personal: el link en el e-mail, bien disfrazado, abre un sitio web malicioso que se esconde detrás de un dominio falso de confianza, como un sitio web de un banco o una tarjeta de crédito.
- Luego te pide que ingreses información personal con urgencia. La información que proporciones puede ser utilizada para causar un daño de inmediato (robar dinero de tu cuenta, enviar spam a otras personas de tu lista de contactos, etc) o se pueden vender en la Deep Web, lo que causa consecuencias devastadoras más generalizadas, como el robo de identidad.
- Trigger Malware: en este caso, el link de phishing abre un archivo adjunto que contiene malware, como ransomware, criptofishing, etc. Este es, de hecho, el vector más utilizado para propagar otros tipos de malware.
Considera esto: estás revisando tu e-mail y recibes un mensaje de un contacto conocido que compartió un documento Google contigo.
Cuando haces clic en el botón “Google”, de aspecto muy realista, te lleva a la página de inicio de sesión normal de Google para seleccionar tu cuenta. Al seleccionar la cuenta, se lo dirige nuevamente a la página predeterminada donde pide que le permita a “Google Ads” acceder a tu cuenta. Todo parece legítimo, ¿verdad?
El problema es que este supuesto “Google Ads” es una aplicación de phishing que aprovecha el hecho de que puedas nombrar una aplicación web que no sea Google con el nombre que quieras, incluyendo “Google Docs”.
Por lo tanto, si haces clic en él, los estafadores no solo tendrán acceso total a tu e-mail, sino que también van a enviar spam similar a todos en tu lista de contactos. Esta estafa es real y fue resuelta por Google una hora después de ser denunciada, un cambio impresionante que redujo lo que podría haber sido un gran problema.
Sin embargo, esto destaca lo inteligente que puede ser el phishing. La estafa pasó por alto todas las “banderas rojas” de phishing por excelencia: remitente desconocido, URL incompleta, sitio web inseguro y, posiblemente, autenticación de dos factores.
Con eso en mente, ¿cómo podemos adoptar estrategias anti phishing?
Consejos para identificar el ataque
Como se mostró en el ejemplo anterior, aunque es una de las estafas de phishing “más inteligentes”, hipotéticamente todos podríamos hacer clic en un link como este. Incluso si tienes el software anti-spam y anti-phishing más seguro, es posible una infame estafa de phishing con un solo clic. A continuación, algunos consejos para identificar mejor los riesgos:
- Verifica el e-mail del remitente: por lo general, el nombre del remitente en un e-mail de phishing puede ser un nombre auténtico de un contacto conocido o de un banco / agencia de tarjeta de crédito.
Sin embargo, si colocas el cursor sobre el nombre del remitente, le va a revelar la dirección del e-mail sospechoso. - Verifica la URL: la misma lógica anterior se aplica a la URL. El nombre del link puede parecer legítimo, pero si pasas el cursor sobre el link y verificas que la dirección de URL es sospechosa, desconfía que es falso.
- Cuestiona el tono del e-mail: los e-mails de phishing generalmente tienen un tono típico: utilizan tácticas de miedo/intimidación que requieren una respuesta urgente (“Depósito de sueldo rechazado. ¡Actualizar información de inmediato!). Además, solicitan información personal (“Actualiza la información de tu cuenta”), y vienen con saludos genéricos (“Estimado usuario”).
En caso de duda, envía un e-mail al remitente por separado (sin opción de respuesta), visita los sitios de la empresa en una nueva guía del navegador o llama a la empresa/persona física directamente.
A nivel organizacional, algunas medidas incluyen “sandbox” de e-mail para verificar la veracidad de cada link en el que se hace clic y para inspeccionar y analizar regularmente el tráfico web. Sin embargo, lo que puede ser más eficaz es recibir información periódica de concientización sobre seguridad de la información.
Además, es muy valioso realizar ejercicios de simulación de phishing y boletines de seguridad por e-mail para garantizar que los empleados estén al tanto de los ataques cibernéticos.
Recuerda que un clic incorrecto puede infectar toda la red, dañando tus valiosos datos y la reputación de tu organización. Esto también es cierto para las aplicaciones SaaS, ya que se han convertido en las nuevas favoritas.
La mejor red de seguridad para la creciente amenaza del ciberdelito es la protección de datos.
Tipos de ataques de phishing
Estafas de e-mail
El phishing por e-mail ocurre cuando el atacante envía miles de mensajes falsos para generar información y cantidades de dinero significativas.
Como dijimos anteriormente, el atacante hace un gran esfuerzo para proteger mensajes de phishing que imitan e-mails reales de una organización conocida.
Además, los atacantes generalmente intentan poner a los usuarios en acción creando una sensación de urgencia.
Spear phishing
El spear phishing se dirige a una persona o a una empresa específica, a diferencia de los usuarios de aplicaciones aleatorias. Es una estafa de phishing más profunda, que requiere un estudio especial de una organización, incluido el conocimiento de su estructura de poder.
¿Cómo prevenir?
La protección contra los ataques phishing exige que el usuario y las empresas se movilicen de diversas formas.
Para los usuarios, la vigilancia es fundamental. Un mensaje falsificado suele contener generalmente errores imperceptibles que esconden su verdadera identidad. Eso puede incluir juegos de palabras o cambios en los nombres de dominio, como vimos anteriormente.
Para las empresas, se pueden tomar varios pasos para mitigar ataques de phishing y spear phishing:
- Autenticación de dos factores: uno de los métodos más efectivos para contener ataques phishing. Agrega una capa adicional de verificación al iniciar sesión en aplicaciones confidenciales. En la autenticación de dos factores, se espera que los usuarios tengan la contraseña y un nombre de usuario, y también tengan el dispositivo registrado, como un smartphone.
- Además de utilizar la autenticación de dos factores, las organizaciones deben aplicar políticas estrictas de gestión de contraseñas. Por ejemplo, una idea muy eficaz es pedir a los empleados que cambien con frecuencia sus contraseñas. También es importante que no se les permita reutilizar las contraseñas para múltiples aplicaciones.
Finalmente, invertir en campañas educativas también puede ayudar a disminuir la amenaza de ataques phishing, reforzando prácticas seguras como, no hacer clic en links de e-mails externos.