El phishing sigue siendo una de las mayores amenazas de ciberseguridad del mundo. De hecho, según una investigación de la firma de ciberseguridad Barracuda, el phishing se ha vuelto tan desenfrenado que el número de ataques de phishing relacionados con el coronavirus aumentó en un 667 por ciento de enero a marzo de este año. Lo que es aún más alarmante es que, según un estudio de Intel, hasta el 97 por ciento de las personas no pueden identificar un correo electrónico de phishing. ¿Pero, cuáles son los tipos de ataques de phishing más peligrosos?
Para evitar convertirte en una víctima, debes conocer las diferentes formas en que los phishers pueden intentar atacarte. Aquí hay ocho tipos diferentes de ataques de phishing que puedes encontrar.
1. Phishing por correo electrónico
Este es el correo electrónico típico de phishing que está diseñado para imitar a una empresa legítima. Es el tipo de ataque menos sofisticado que utiliza el método «rociar y rezar».
No se dirigen a una persona específica y, a menudo, solo envían correos electrónicos genéricos a millones de usuarios con la esperanza de que algunas víctimas desprevenidas hagan clic en el enlace, descarguen el archivo o sigan las instrucciones del correo electrónico.
A menudo no son tan personalizados, por lo que usan saludos generales como «Estimado titular de la cuenta» o «Estimado miembro valioso». También suelen utilizar el pánico o el miedo con palabras como «URGENTE» para que los usuarios hagan clic en el enlace.
2. Spear Phishing
Este es un tipo de phishing más sofisticado y avanzado que se dirige a un grupo específico o incluso a personas específicas. A menudo lo utilizan piratas informáticos de alto perfil para infiltrarse en organizaciones.
¿Recibiste un correo electrónico falso de tu banco? Es parte de una técnica de estafa llamada spear phishing. Aquí os mostramos cómo mantenerte a salvo.
Los estafadores realizan una investigación exhaustiva sobre las personas, sus antecedentes o las personas con las que interactúan habitualmente para poder crear un mensaje más personal. Y porque sus usuarios más personales no suelen sospechar que algo anda mal.
Siempre verifica la dirección de correo electrónico y el formato de la carta con lo que normalmente recibirías de ese contacto. También es mejor llamar al remitente y verificar todo antes de descargar un archivo adjunto o hacer clic en enlaces, incluso si parece que es de alguien que conoces.
3. Caza de ballenas
Este es otro de los tipos de ataques de phishing sofisticados y avanzados, solo que este se dirige a un grupo específico de personas: ejecutivos de negocios de alto perfil como gerentes o directores ejecutivos.
A veces se dirigían al objetivo directamente en el saludo y el mensaje podría ser una citación, una queja legal o algo que requiera una acción urgente para evitar la bancarrota, el despido o los honorarios legales.
Los atacantes pasarían mucho tiempo investigando exhaustivamente sobre la persona y elaborando un mensaje especializado para apuntar a personas clave en una organización que normalmente tendrían acceso a fondos o información confidencial.
Al objetivo se le enviarán enlaces a una página de inicio de sesión convincente donde los piratas informáticos recopilarán los códigos de acceso o la información de inicio de sesión. Algunos ciberdelincuentes también pedirían a las víctimas que descarguen un archivo adjunto para supuestamente ver el resto de la citación o carta. Estos archivos adjuntos vienen con malware que puede acceder al ordenador.
4. Vishing
Vishing o phishing de voz es un tipo de phishing, pero en lugar de enviar un correo electrónico, los atacantes intentarán obtener información de inicio de sesión o datos bancarios por teléfono.
Los atacantes se harán pasar por personal de una organización o personal de apoyo de una empresa de servicios y luego jugarán con las emociones para pedir a las víctimas que entreguen los datos bancarios o de la tarjeta de crédito.
A veces, el mensaje podría ser sobre una cantidad vencida, como impuestos, ganancias de concursos o ser de un personal de soporte técnico falso que solicita acceso remoto a una computadora. También pueden usar un mensaje pregrabado y la suplantación de números de teléfono, lo que hace que una llamada al extranjero parezca local. Esto se hace para dar credibilidad al ataque y hacer que las víctimas crean que la llamada es legítima.
Los expertos aconsejan a las personas que nunca brinden información confidencial como datos de inicio de sesión, números de seguro social o datos bancarios y de tarjetas de crédito por teléfono. En su lugar, cuelga y llama a tu banco o proveedor de servicios de inmediato.
5. Smishing
Smishing es cualquier forma de phishing que implica el uso de mensajes de texto o SMS. Los phishers intentarán engañarte para que hagas clic en un enlace enviado por texto que te llevará a un sitio falso. Se te pedirá que ingreses información confidencial como los detalles de tu tarjeta de crédito. Los piratas informáticos recopilarán esta información del sitio.
A veces te dirán que has ganado un premio o que si no escribes tu información, se te seguirá cobrando por hora por un servicio en particular. Como regla general, debes evitar responder a mensajes de texto de números que no reconoces. Además, evita hacer clic en los enlaces que recibes de los mensajes de texto, especialmente si no conoce la fuente.
6. Angler Phishing
Esta táctica de phishing relativamente nueva utiliza las redes sociales para atraer a las personas a compartir información confidencial. Los estafadores monitorean a las personas que publican sobre banca y otros servicios en las redes sociales. Luego fingen ser un representante de servicio al cliente de esa empresa.
Digamos que publicas una perorata sobre un depósito retrasado o algún mal servicio bancario y la publicación incluyes el nombre de tu banco. Un ciberdelincuente usará esta información para fingir que es del banco y luego se comunicará contigo.
Luego se te pedirá que hagas clic en un enlace para que puedas hablar con un representante de servicio al cliente y luego te pedirán información para ‘verificar tu identidad’.
Cuando recibes un mensaje como este, siempre es mejor ponerse en contacto con el servicio al cliente a través de canales seguros como las páginas oficiales de Twitter o Instagram. Normalmente, estos tendrían un signo de cuenta verificado.
7. Fraude Phishing De CEO
Este es casi como la caza de ballenas. Se dirige a los directores ejecutivos y gerentes, pero se vuelve aún más insidioso. Y es que el objetivo no es solo obtener información del director ejecutivo, sino hacerse pasar por él. El atacante, haciéndose pasar por el CEO o similar, enviará un correo electrónico a sus colegas solicitando dinero a través de transferencia bancaria o solicitando enviar información confidencial de inmediato.
El ataque normalmente está dirigido a alguien dentro de la empresa que esté autorizado para realizar transferencias bancarias. ¿Cómo cuáles? Como los titulares de presupuestos, las personas del departamento de finanzas o las personas que tienen acceso a información confidencial. El mensaje a menudo tiene la intención de sonar muy urgente, por lo que la víctima no tendrá tiempo para pensar.
8. Phishing en buscadores
Este es uno de los tipos más nuevos de ataques de phishing que utiliza motores de búsqueda legítimos. Los phishers crearán un sitio web falso que ofrece ofertas, artículos gratuitos y descuentos en productos, e incluso ofertas de trabajo falsas. Luego utilizarán técnicas de SEO (optimización de motores de búsqueda) para que tus sitios sean indexados por sitios legítimos.
Entonces, cuando busques algo, el motor de búsqueda te mostrará resultados que incluyen estos sitios falsos. Luego, serás engañado para que inicies sesión o proporciones información confidencial que luego será recolectada por los ciberdelincuentes.
Algunos de estos phishers se están volviendo expertos en el uso de técnicas avanzadas para manipular los motores de búsqueda para dirigir el tráfico a sus sitios web.
Manténgase informado y esté atento
Conocer los nombres de cada tipo no es tan importante como comprender el MO, el modo y el canal de cada ataque. No tienes que confundirte con cómo se llaman todos, pero es importante saber cómo se elaboran sus mensajes y qué canales utilizan los atacantes para llegar a ti.
También es importante estar siempre alerta y saber que hay mucha gente que quiere engañarte para que des tus datos. Comprenda que su empresa puede convertirse en el objetivo de un ataque y los delincuentes están buscando una forma de entrar en tu organización.
Saber que existen tales amenazas es el primer paso para evitar que para evitar cualquiera de estos tipos de ataques de phishing. También es muy importante verificar la fuente del mensaje antes de actuar.
También debes comprender que los atacantes a veces utilizan el miedo y el pánico de las personas para lograr que los usuarios hagan lo que quieren. Entonces, cuando te enfrentas a una amenaza, es importante calmarte para poder pensar. Y cuando se trata de detectar estafas de promociones y regalos, el viejo adagio todavía se aplica: si algo suena demasiado bueno para ser verdad, probablemente no lo sea.