10 tipos de ataques y estafas de phishing

Phishing

Los ataques de phishing provocan pérdidas y daños significativos a las empresas cada año.

Para Google y Facebook, las pérdidas totalizaron más de $ 100 millones. El Banco Creland de Bélgica entregó más de $ 75 millones a los ciberdelincuentes. Y el fabricante austriaco de piezas aeroespaciales FACC perdió $ 61 millones. ¿Qué está causando este tipo de pérdidas masivas? Cada una de estas organizaciones fue víctima de diferentes (y costosos) tipos de ataques de phishing.

¿Qué es un ataque de phishing?

En general, una estafa de suplantación de identidad (phishing) es un tipo de ataque cibernético que los ciberdelincuentes utilizan para que los usuarios realicen algún tipo de acción. Estos correos electrónicos a menudo se envían en masa con el objetivo de engañar a personas confiadas. Piensa en el intento de phishing mas popular: el príncipe nigeriano que sigue intentando que tomes su dinero para “mantenerlo a salvo”.

Sin embargo, el phishing ha evolucionado significativamente desde que su alteza real entró en escena. Ahora hay una variedad de ataques de phishing dirigidos a las empresas. Algunos implican el uso de correos electrónicos y sitios web; otros pueden usar mensajes de texto o incluso llamadas telefónicas. Los ataques utilizan estos métodos con el objetivo de lograr que los usuarios proporcionen información personal o de determinadas cuentas, o que transfieran fondos a cuentas fraudulentas. La industria de los delitos informáticos está alcanzando niveles sin precedentes. Cybersecurity Ventures informa que se espera que los daños de delitos cibernéticos le cuesten al mundo 6 billones de dólares al año para el 2021, de los cuales se prevé que el phishing desempeñará un papel importante.

Pero cuando hablamos de phishing, ¿de qué tipo de ataques estamos hablando específicamente? En realidad, existen varios tipos de estafas de suplantación de identidad (phishing) a las que se ven expuestas las empresas a diario.

10 tipos de ataques de phishing que amenazan a tu empresa

Hemos recopilado una lista de los tipos de ataques de phishing más frecuentes. El objetivo aquí es ayudarte a familiarizarte con algunos de los diferentes tipos de ataques de phishing que existen y proporcionar una visión general de cómo funcionan o qué los diferencia de otras estafas de phishing.

1. Fraude del CEO / Cuenta empresarial comprometida

El primer tipo de ataque de phishing que analizaremos se conoce como «fraude del CEO«. En pocas palabras, el fraude del CEO se produce cuando un delincuente cibernético envía un correo electrónico a un empleado de nivel inferior, generalmente alguien que trabaja en el departamento de contabilidad o finanzas, mientras pretende ser el CEO de la compañía u otro ejecutivo, gerente, etc. El objetivo de estos correos electrónicos a menudo es que su víctima transfiera fondos a una cuenta falsa. Solo un poco de información adicional para que lo tengas presente: en EE. UU., El fraude del CEO a menudo se conoce como «Business Email Compromise» (BEC), y según el FBI le cuesta miles de millones de dólares a las empresas.

2. Clone Phishing

La idea detrás de un ataque de Clone Phishing es aprovechar los mensajes legítimos que la víctima ya ha recibido y crear una versión maliciosa. El ataque crea una réplica virtual de un mensaje legítimo, y envía el mensaje desde una dirección de correo electrónico que parece legítima. Todos los enlaces o archivos adjuntos en el correo electrónico original se intercambian por otros maliciosos.

El ciberdelincuente a menudo usa la excusa de que está reenviando el mensaje original debido a un problema con el enlace o el archivo adjunto del correo electrónico anterior para atraer a los usuarios finales a hacer clic en ellos. Desearíamos poder decir que esto no funciona; desafortunadamente, es un ataque muy efectivo.

3. Suplantación de dominio (Spoofing de Dominio)

El siguiente tipo de phishing que queremos mencionar se conoce como suplantación de dominio. Este método de ataque utiliza correos electrónicos o sitios web fraudulentos. La falsificación de dominio se produce cuando un ciberdelincuente “falsifica” el dominio de una organización o empresa para:

  • Hacer que sus correos electrónicos parezcan provenir del dominio oficial, o
  • Hacer que un sitio web falso se vea como el verdadero adoptando el diseño del sitio real y utilizando una URL similar o caracteres Unicode que se parecen a los caracteres ASCII.

¿Como es eso posible? En el caso de un ataque por correo electrónico, un delincuente cibernético falsifica un nuevo encabezado de correo electrónico que hace que parezca que el correo electrónico se origina en la dirección de correo electrónico legítima de una empresa. En una falsificación de dominio del sitio web, el ciberdelincuente crea un sitio web fraudulento y con un dominio que parece legítimo o está cerca del original ( por ejemplo, apple[.]com vs apple[.]co).

4. Gemelo malvado

Aunque suena como si hablamos de un ataque de Clone Phishing, un ataque de «gemelo malvado» es en realidad un asunto muy diferente. A diferencia de los otros métodos de phishing que hemos mencionado en este artículo, un ataque de gemelo malvado es una forma de phishing que aprovecha el Wi-Fi. TechTarget[.]com describe a un ataque de gemelo malvado como «un punto de acceso inalámbrico malicioso que se hace pasar por un punto de acceso Wi-Fi legítimo para que el atacante pueda recopilar información personal o corporativa sin el conocimiento del usuario final«. Este tipo de ataque también se ha referido como la estafa de Starbucks porque a menudo tiene lugar en cafeterías.

En este tipo de ataques, el ciberdelincuente crea un punto de acceso Wi-Fi que se parece al real: incluso utilizarán el identificador de servicio establecido (SSID) que es el mismo que la red real. Cuando los usuarios finales se conectan, el atacante puede escuchar a escondidas el tráfico de su red y robar sus nombres de cuenta, contraseñas y ver los archivos adjuntos a los que accede el usuario mientras está conectado al punto de acceso comprometido. (Consejo: una VPN mantendrá sus datos seguros incluso en una red Wi-Fi comprometida).

5. Phishing HTTPS

El 58% de todos los sitios web de phishing ahora se efectúan a través del protocolo HTTPS. El enfoque que utilizan los ciberdelincuentes en estos ataques es enviar un correo electrónico con solo un enlace de aspecto legítimo en el cuerpo del correo electrónico. A menudo, no hay otro contenido, excepto el enlace en sí (que se puede hacer clic o un enlace no activo que requiere que el destinatario copie y pegue la URL en su barra de direcciones web).

Entonces, ¿por qué alguien haría clic intencionalmente en el enlace? La respuesta corta es porque el atacante usa una variedad de tácticas de ingeniería social para engañar al destinatario del correo electrónico para que haga clic en el enlace o copie y pegue la URL en su navegador web (lo que dificulta la detección de este tipo de correo electrónico). . Esto incluye enviar los mensajes desde una dirección de correo electrónico que parezca legítima, por ejemplo, del jefe o compañero de trabajo del destinatario.

6. Smishing (SMS phishing)

El phishing por SMS, o «smishing», es una forma de phishing que aprovecha la adicción del mundo a los mensajes de texto y las comunicaciones instantáneas. ¿Alguna vez has recibido un mensaje de texto de Netflix pidiendo actualizar tu forma de pago? El smishing es una forma en que los delincuentes cibernéticos pueden atraer a los usuarios a descargar software malicioso mediante el envío de mensajes de texto que parecen provenir de fuentes legítimas y contienen direcciones URL maliciosas para que hagan clic.

Una forma de evitar ser víctima de ataques de smishing es ignorar totalmente cualquier mensaje de texto no solicitado. Si no te registraste para recibir notificaciones de texto, no hagas clic en la URL cuando recibas ese texto. Cuando tenga dudas sobre la autenticidad de un mensaje, simplemente confía en la lección que tus padres o maestros te enseñaron cuando eras niño: no hables con extraños.

7. Spear phishing

Un ataque de Spear Phishing es una forma específica de phishing. A diferencia de los correos electrónicos de suplantación de identidad (phishing) generales, que utilizan tácticas similares al spam para llegar a miles de personas en campañas de correo electrónico masivas, los ataques de Spear Phishing se dirigen a personas específicas dentro de una organización. Utilizan tácticas de ingeniería social para ayudar a adaptar y personalizar los correos electrónicos a sus víctimas previstas. Pueden usar líneas de asunto que serían temas de interés para los destinatarios del correo electrónico para engañarlos para que abran el mensaje y hagan clic en los enlaces o archivos adjuntos.

¿Por qué es tan relevante el Spear Phishing? Porque el 91% de los ataques cibernéticos comienzan con un correo electrónico de phishing. El objetivo a menudo es robar datos o instalar malware en la computadora del destinatario para obtener acceso a su red y cuentas. Desafortunadamente, es posible que los métodos de seguridad tradicionales no detengan este tipo de ataques porque están tan altamente personalizados que muchos filtros de spam tradicionales pueden pasarlos por alto.

8. Vishing

Ya leíste sobre smishing y entiendes que es phishing a través de mensajes SMS. Por lo tanto, si crees que «vishing» es «phishing de voz» (phishing a través del teléfono), entonces estás en lo correcto. Un ataque de vishing ocurre cuando un delincuente llama a tu teléfono para intentar que proporciones información personal o financiera. A menudo usan llamadas automáticas que desvían a las personas que caen en sus tácticas y terminan hablando con los criminales. También utilizan aplicaciones móviles y otras técnicas para falsificar su número de teléfono o para ocultar sus números de teléfono por completo.

Estos atacantes utilizan con frecuencia una variedad de tácticas de ingeniería social para engañarte y proporcionarte esta información. También se sabe que pretenden ser otra persona: tu banco, una entidad de gobierno o un ejecutivo de tu empresa que afirma trabajar en otra sucursal. Reclamarán que debes impuestos, o que tu tarjeta de crédito tiene actividades sospechosas y debe cerrarse de inmediato… primero deberán «verificar» tu información personal antes de que puedan cerrar la tarjeta y volver a emitir una nueva.

No caigas en esta trampa, simplemente corta la llamada.

9. Watering hole phishing

Este tipo menos conocido de ataque de phishing recuerda a una escena del reino animal. Imagina un grupo de cebras, antílopes y otras criaturas en el Serengeti en un abrevadero. Para refrescarse, se acercan más al agua y se inclinan para tomar una bebida. Una cebra decide alejarse y vaga demasiado lejos de la manada en el agua. De repente, un cocodrilo brota de debajo de la superficie del agua y la agarra, arrastrándola hacia abajo.

Sí, lo has adivinado: eres la cena a rayas en este escenario.

Los ataques de Watering hole phishing funcionan de esta forma:

  • Identifican sitios web específicos que tu empresa o empleados visitan con mayor frecuencia, e
  • Infectan uno de esos sitios con malware.

Los sitios seleccionados para la infección pueden ser un proveedor cuyos servicios utiliza tu empresa. El objetivo es infectar los sitios web para que cuando tu o tus empleados lo visiten, tus computadoras se carguen automáticamente con malware. Esto proporcionará a los atacantes acceso a tu red, servidores e información confidencial, como datos personales y financieros.

¿Las otras personas que visitan el sitio infectado serán víctimas del ataque? Por supuesto. Pero solo son daños colaterales y víctimas adicionales para los ciberdelincuentes.

10. Whaling

El Whaling una forma de phishing que se parece mucho a la versión inversa del fraude del CEO. En lugar de dirigirse a personas de niveles inferiores dentro de una organización, los delincuentes cibernéticos se dirigen a los ejecutivos de alto nivel, como los CEOs, directores, presidentes, gerentes, etc. El objetivo es engañar al ejecutivo para que revele información confidencial y datos corporativos. Estos objetivos se seleccionan cuidadosamente debido a su acceso y autoridad dentro de una organización. Estos ataques a menudo utilizan el spoofing de dominio.

A diferencia de los correos electrónicos de phishing en general, estos mensajes se basan en tácticas de ingeniería social que utilizan la información que obtienen de Internet y de varias plataformas de redes sociales. Están altamente adaptados a sus audiencias y, a menudo, incluyen:

  • El nombre de la víctima,
  • Título o cargo, y
  • Detalles básicos que hacen que las comunicaciones parezcan legítimas.

Hay otros tipos de ataques de phishing, sin embargo en este articulo hemos abordado al menos los más frecuentes.

Cómo puedes evitar caer en muchos tipos de ataques de phishing

La ciberseguridad verdaderamente efectiva es un enfoque de múltiples capas. Estas son algunas de las cosas que puede hacer para evitar ser la próxima victima del phishing:

Entrena a tus empleados para adoptar las mejores prácticas de correo electrónico

Esto debería ser evidente, pero vale la pena repetirlo, ya que esto parece ser un punto de fricción para algunas empresas: capacitar a sus empleados.

Todos ellos. Esto incluye a todos, desde los conserjes hasta el CEO.

Hemos preparado un checklist que puedes distribuir entre tus empleados para ayudarlos a detectar un correo legitimo de uno fraudulento. Descargalo gratis aquí.

Implementar el uso de certificados de firma de correo electrónico.

Estos certificados de seguridad digital se conocen como certificados S/MIME porque usan Extensiones de Correo de Internet de Propósitos Múltiples / Seguro (Secure/Multipurpose Internet Mail Extensions) para cifrar el contenido de nuestros correos electrónicos (y cualquier archivo adjunto) y para firmar digitalmente nuestras comunicaciones.

Related Articles

Responses

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *