Ciberataques

Si no sabes qué es phishing, estás en problemas

norman@preyhq.com
Norman G.
Nov 30, 2022
0 minutos de lectura
Si no sabes qué es phishing, estás en problemas

Todos los días vemos en noticieros y periódicos víctimas de varias modalidades de ciberamenazas. Entre esas posiblemente la más mencionada es el phishing, ya que en años recientes se ha posicionado en latinoamérica como una de las clases de fraude más comunes

¿Qué es phishing?

Phishing es el proceso en el que alguien te engaña para que entregues información importante, o descargues un virus a través de falsas pretensiones y trampas sociales. Esto puede ocurrir vía  email, SMS, llamadas y websites maliciosas que tienen, por ejemplo, páginas de ingreso (login) falsas.

Compara las imágenes de arriba. ¿Puedes diferenciar el inicio de sesión de Google de su versión falsa? Es realmente  difícil. La mayor diferencia es que el de la derecha te llevará a tu correo, y el de la izquierda robará tu contraseña y correo. Este es un ejemplo del 2018, y al día de hoy los hackers se han vuelto  mucho más sofisticados a la hora de replicar páginas.

Veamos otro ejemplo.  Acabas de recibir un correo de correos de Chile sobre un paquete no entregado y necesitas actualizar tus datos personales. Excepto, que eso es falso. ¿Sabías que un cibercriminal  puede ‘replicar’ correos fácilmente? Esta técnica se conoce como spoofing. Al español podríamos traducirlo como suplantación.

Una vez más, eso es phishing. Es lo que solíamos conocer como spam anteriormente. ¿Recuerdas la estafa del príncipe de Nigeria? algo así, excepto que ahora es más sofisticado y puede saltarse el filtro de correo no deseado de tu proveedor de correo electrónico. Usualmente, suelen estar acompañados por líneas de asunto que dicen cosas cómo:

  • Actualiza el pago de tu cuenta de Netflix
  • Descubrimos un pago fraudulento en tu cuenta
  • ¡Estamos llamando porque tu tarjeta se canceló!
  • Haz clic aquí para conectarte a Facebook y recuperar tu cuenta

Tipos de phishing

A día de hoy existen varias clases de phishing y muchos medios para llevarlo a cabo. A continuación vamos a ver cómo funciona el phishing y los tipos de phishing más comunes:

  • Phishing de correo: Es la forma más habitual de phishing. Usualmente comienza cuando el atacante se hace pasar por algún proveedor de correo electrónico y utiliza links falsos que llevan al destinatario a sitios web maliciosos, descarga de virus o formularios que incitan al lector a compartir su información y datos personales. 
  • Phishing Spray and Pray: Es el más antiguo tipo de phishing. Se envía un conjunto de emails con asunto “urgente”, en los que la víctima es incitada a actualizar su contraseña en alguna plataforma de manejo de dinero como PayPal o un banco. Otra modalidad es informarle a la víctima que se ganó un premio monetario como un sorteo o lotería, y sus datos financieros son solicitados con el fin de reclamarlo. Una vez los datos personales y financieros son introducidos, se almacenan en un servidor remoto con pleno acceso por parte de los cibercriminales.
  • Spear Phishing: Este tipo de phishing se utiliza para atacar a empresas y organizaciones principalmente, por este motivo los emails usados son sustancialmente diferentes de los emails fraudulentos. El spear phishing puede incluir archivos adjuntos falsos, usualmente conteniendo software malicioso, con el fin de ser descargados en el dispositivo corporativo y poder espiar su información. 
  • Smishing: Con esta modalidad, los cibercriminales engañan a sus víctimas por medio de SMS o mensajes de texto, haciéndose pasar por organizaciones conocidas, con el fin de conseguir que los usuarios accedan a websites malintencionados desde sus dispositivos móviles. 
  • Vishing o phishing por voz: Los atacantes usan llamadas telefónicas o mensajes de voz indicando a la víctima que deben llamar a un número telefónico o les solicitan información personal y financiera. Usualmente se hacen pasar por diferentes entidades o usan software para modificar sus voces y así evitar dejar rastros.
  • Whaling: Como su nombre en inglés lo indica, esta modalidad busca la caza de ballenas o peces gordos. Son emails dirigidos a ejecutivos o personas específicas con un alto valor para un negocio o entidad. 
  • Fraude del CEO: Es una forma sofisticada de phishing. Consiste en hacerse pasar por el CEO o un alto ejecutivo de una empresa con el fin de generar una relación de confianza con un empleado de la misma, buscando como objetivo final el envío de pagos o información confidencial. Estos ataques son comunes después de haber sido víctimas de Whaling, ya que el cibercriminal ya tiene las credenciales de las cuentas de dicho alto ejecutivo. 
  • Phishing de Criptomoneda:  Posiblemente es la modalidad creada de manera más reciente. Consiste en la creación de una página falsa para registro de criptomonedas (spoofing). Una vez la víctima ingresa sus datos e información financiera, los criminales tendrán acceso a sus cuentas digitales y de este modo podrán retirar dinero de ellas. 

Diferencia entre phishing y spear phishing

Los dos tipos de phishing más usados son phishing común, y el spear-phishing. La mayor diferencia entre phishing y spear phishing recae en cuánta  información tiene el atacante sobre ti, cómo te intentarán convencer, y sus objetivos.

Ataques de phishing común

Estos ataques suelen ocurrir a grandes escalas ya que el  atacante tiene acceso a una base de datos de contactos grande, por lo que espera convencer a un porcentaje pequeño de que hagan algo malicioso. Por ejemplo, las grandes campañas de phishing por Coronavirus que han estado dando vuelta desde que la pandemia comenzó. El phishing suele:

  • Tomar ventaja de contextos generalizados (Coronavirus, vencimientos de créditos)
  • Enviar mensajes a cientos y miles de destinatarios, sin conocerlos.
  • Incluir una carnada maliciosa. Un enlace infectado, un archivo infectado, o una pedida de información.

Los ataques más frecuentes llegan por correo y SMS, que se obtienen  de una base de datos robada, o en algunos casos, directamente de tu empresa. Todo lo que necesitan es un contacto y una premisa. Los ataques de este tipo a negocios son muy comunes, ya que en una encuesta realizada por CyberArk a alrededor de 1300 profesionales de TI se descubrió que 56% de las organizaciones participantes identificaron al phishing como su mayor riesgo de seguridad informática.Ataques de spear phishing

Ya que definimos qué es el spear phishing en la sección relacionada a tipos de phishing, vamos a profundizar en qué consisten este tipo de ataques. En contraste al Phishing común, el Spear-phishing suele tomar los contextos originales y agregar ingeniería social. En pocas palabras, el atacante investiga tu vida, trabajo e historia para crear una mejor narrativa y simular ser alguien que te empuje a hacer lo que él/ella quiere.

El Spear-phishing es un ataque dirigido, planificado y con objetivos claros. Usualmente atacan empresas , ya que las están tratando de infiltrar a través de empleados de bajo nivel. 

¿Por qué atacan empleados? Porque si logran infectar a alguien dentro de la empresa, a su computador, o logran robar credenciales  / tokens de validación, el atacante podrá infiltrar la red de la organización y causar el daño que quiera. Es un ataque de tipo trampolín, por así decirlo.

El correo de arriba es un gran ejemplo. Es una campaña de phishing dirigida a oficiales del Gobierno de Ucrania. El correo incluía un archivo malicioso que ejecutaba un script en PowerShell para descargar un malware capaz de espiar al equipo infectado. Para lograr esto, utilizaron:

  • Una historia sólida con información y contextos reales.
  • Un correo real, spoofeado, para parecer confiable.
  • Una petición de información importante que invita a cooperar.

Cómo identificar y evitar el spear phishing

El Spear-phishing no es fácil de identificar. Después de todo, el hacker puede spoofear/imitar un correo, y si hizo su tarea puede imitar a una persona que conoces. Estos ataques son más producidos y no suelen utilizar mensajes generalizados.

Por esto mismo, hay que revisar los detalles. ¿Es el formato del correo el habitual para tu compañero? ¿Tiene la firma correcta? Si tiene un link, ¿es de un dominio familiar? ¿Están pidiendo por información sensible de la empresa, o de otro empleado? En general, hay que ser un poco paranoico y hacer cosas cómo:

  • Enviar un mensaje o llamar a la persona que supuestamente te contactó.
  • Si dudas, pregunta a un supervisor si puedes compartir esa información por correo.
  • Escanea cualquier archivo con un antivirus antes de abrirlo.
  • Revisa tus redes sociales. Los atacantes suelen utilizar información que publicas para parecer amigables.

Conclusiones

Muchos software y antivirus ofrecen algún tipo de protección de correo o anti-phishing. Sin embargo, no son cien por ciento efectivas ya que la naturaleza de estos ataques cambia constantemente.

Además, estos ataques no solo ocurren en masa, también son dirigidos y allí es más difícil identificarlos. El spear phishing no depende del malware siempre y los correos inocentes de un compañero de trabajo que pide una base de datos para trabajar pueden pasar desapercibidos. 

Aprender más sobre cómo prevenir el phishing y sus métodos de ataques es necesario para prevenirlos. De acuerdo al reporte “El Estado del Phishing” de Wombat Security, un 85% de las organizaciones han sufrido algún tipo de ataque de phishing, por lo que es imperativo promover políticas y capacitaciones en las empresas para reducir las probabilidades de sufrir este ataque.

Si recibes una llamada de tu banco con problemas, revisa el número y duda. Si alguien te ofrece algo gratis, duda. Si algo es demasiado bueno -o malo- para ser cierto, duda. Ser precavido no duele, así que revisa ese enlace, escanea ese archivo y no des contraseñas a través de tu teléfono. Como todos los bancos dicen, ninguna organización te pedirá tus credenciales por teléfono o correo.

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.