8 tipos de ataques de phishing que debe conocer

Aranzulla de Los Pobres

El phishing sigue siendo una de las mayores amenazas de ciberseguridad del mundo.

De hecho, según una investigación de la firma de ciberseguridad Barracuda , el phishing se ha vuelto tan desenfrenado que el número de ataques de phishing relacionados con el coronavirus aumentó en un 667 por ciento de enero a marzo de este año. Lo que es aún más alarmante es que, según un estudio de Intel, hasta el 97 por ciento de las personas no pueden identificar un correo electrónico de phishing.

Para evitar convertirse en una víctima, debe conocer las diferentes formas en que los phishers pueden intentar atacarlo. Aquí hay ocho tipos diferentes de intentos de phishing que puede encontrar.

1. Phishing por correo electrónico

Este es el correo electrónico típico de phishing que está diseñado para imitar a una empresa legítima. Es el tipo de ataque menos sofisticado que utiliza el método "rociar y rezar".

No se dirigen a una persona específica y, a menudo, solo envían correos electrónicos genéricos a millones de usuarios con la esperanza de que algunas víctimas desprevenidas hagan clic en el enlace, descarguen el archivo o sigan las instrucciones del correo electrónico.

A menudo no son tan personalizados, por lo que utilizan saludos generales como "Estimado titular de la cuenta" o "Estimado miembro valioso". También suelen utilizar el pánico o el miedo con palabras como "URGENTE" para que los usuarios hagan clic en el enlace.

2. Spear Phishing

Este es un tipo de phishing más sofisticado y avanzado que se dirige a un grupo específico o incluso a personas específicas . A menudo lo utilizan piratas informáticos de alto perfil para infiltrarse en organizaciones.

Los estafadores realizan una investigación exhaustiva sobre las personas, sus antecedentes o las personas con las que interactúan habitualmente para poder crear un mensaje más personal. Y porque sus usuarios más personales no suelen sospechar que algo anda mal.

Siempre verifique la dirección de correo electrónico y el formato de la carta con lo que normalmente recibiría de ese contacto. También es mejor llamar al remitente y verificar todo antes de descargar un archivo adjunto o hacer clic en enlaces, incluso si parece que es de alguien que conoces.

3. Caza de ballenas

Este es otro tipo de phishing sofisticado y avanzado, solo que este se dirige a un grupo específico de personas: ejecutivos de negocios de alto perfil como gerentes o directores ejecutivos.

A veces se dirigían al objetivo directamente en el saludo y el mensaje podría ser una citación, una queja legal o algo que requiera una acción urgente para evitar la bancarrota, el despido o los honorarios legales.

Los atacantes pasarían mucho tiempo investigando exhaustivamente sobre la persona y elaborando un mensaje especializado para apuntar a personas clave en una organización que normalmente tendrían acceso a fondos o información confidencial.

Al objetivo se le enviarán enlaces a una página de inicio de sesión convincente donde los piratas informáticos recopilarán los códigos de acceso o la información de inicio de sesión. Algunos ciberdelincuentes también pedirían a las víctimas que descarguen un archivo adjunto para supuestamente ver el resto de la citación o carta. Estos archivos adjuntos vienen con malware que puede acceder a la computadora.

4. Vishing objetivo de phishing de voz o vishing

Vishing o phishing de voz es un tipo de phishing, pero en lugar de enviar un correo electrónico, los atacantes intentarán obtener información de inicio de sesión o datos bancarios por teléfono.

Los atacantes se harán pasar por personal de una organización o personal de apoyo de una empresa de servicios y luego jugarán con las emociones para pedir a las víctimas que entreguen los datos bancarios o de la tarjeta de crédito.

A veces, el mensaje puede ser sobre una cantidad vencida, como impuestos, ganancias de concursos o ser de un personal de soporte técnico falso que solicita acceso remoto a una computadora. También pueden usar un mensaje pregrabado y la suplantación de números de teléfono, lo que hace que una llamada al extranjero parezca local. Esto se hace para dar credibilidad al ataque y hacer que las víctimas crean que la llamada es legítima.

Los expertos aconsejan a las personas que nunca proporcionen información confidencial como datos de inicio de sesión, números de seguro social o datos bancarios y de tarjetas de crédito por teléfono. Cuelgue y llame a su banco o proveedor de servicios de inmediato.

5. Smishing

Smishing es cualquier forma de phishing que implica el uso de mensajes de texto o SMS. Los phishers intentarán engañarlo para que haga clic en un enlace enviado por texto que lo llevará a un sitio falso. Se le pedirá que ingrese información confidencial como los detalles de su tarjeta de crédito. Los piratas informáticos recopilarán esta información del sitio.

A veces le dirán que ha ganado un premio o que si no escribe su información, se le seguirá cobrando por hora por un servicio en particular. Como regla general, debes evitar responder a mensajes de texto de números que no reconoces. Además, evite hacer clic en los enlaces que recibe de los mensajes de texto, especialmente si no conoce la fuente.

6. Angler Phishing

Esta táctica de phishing relativamente nueva utiliza las redes sociales para atraer a las personas a compartir información confidencial. Los estafadores monitorean a las personas que publican sobre banca y otros servicios en las redes sociales. Luego fingen ser un representante de servicio al cliente de esa empresa.

Digamos que publica una perorata sobre un depósito retrasado o algún mal servicio bancario y la publicación incluye el nombre de su banco. Un ciberdelincuente utilizará esta información para fingir que es del banco y luego se comunicará con usted.

Relacionado: 7 sitios rápidos que le permiten verificar si un enlace es seguro

Luego se le pedirá que haga clic en un enlace para que pueda hablar con un representante de servicio al cliente y luego le pedirán información para 'verificar su identidad'.

Cuando recibe un mensaje como este, siempre es mejor ponerse en contacto con el servicio al cliente a través de canales seguros como las páginas oficiales de Twitter o Instagram. Normalmente, estos tendrían un signo de cuenta verificado.

7. Fraude de suplantación de identidad de CEO

Este es casi como la caza de ballenas. Se dirige a los directores ejecutivos y gerentes, pero se vuelve aún más insidioso ya que el objetivo no es solo obtener información del director ejecutivo, sino hacerse pasar por él. El atacante, haciéndose pasar por el CEO o similar, enviará un correo electrónico a sus colegas solicitando dinero a través de transferencia bancaria o solicitando enviar información confidencial de inmediato.

El ataque normalmente está dirigido a alguien dentro de la empresa que esté autorizado para realizar transferencias bancarias, como los titulares de presupuestos, las personas del departamento de finanzas o las personas que tienen acceso a información confidencial. El mensaje a menudo tiene la intención de sonar muy urgente, por lo que la víctima no tendrá tiempo para pensar.

8. Phishing en buscadores El phishing en motores de búsqueda utiliza técnicas de SEO

Este es uno de los tipos más nuevos de ataques de phishing que utiliza motores de búsqueda legítimos. Los phishers crearán un sitio web falso que ofrece ofertas, artículos gratuitos y descuentos en productos, e incluso ofertas de trabajo falsas. Luego utilizarán técnicas de SEO (optimización de motores de búsqueda) para que sus sitios sean indexados por sitios legítimos.

Entonces, cuando busque algo, el motor de búsqueda le mostrará resultados que incluyen estos sitios falsos. Luego, será engañado para que inicie sesión o proporcione información confidencial que luego será recolectada por los ciberdelincuentes.

Algunos de estos phishers se están volviendo expertos en el uso de técnicas avanzadas para manipular los motores de búsqueda para dirigir el tráfico a sus sitios web.

Manténgase informado y esté atento

Conocer los nombres de cada tipo no es tan importante como comprender el MO, el modo y el canal de cada ataque. No tiene que confundirse con cómo se llaman todos, pero es importante saber cómo se elaboran sus mensajes y qué canales utilizan los atacantes para llegar a usted.

También es importante estar siempre alerta y saber que hay muchas personas que quieren engañarte para que des tus datos. Comprenda que su empresa puede convertirse en el objetivo de un ataque y los delincuentes están buscando una forma de entrar en su organización.

Saber que existen tales amenazas es el primer paso para evitar que su computadora se convierta en el punto de entrada de un atacante. También es muy importante verificar la fuente del mensaje antes de actuar.

También debe comprender que los atacantes a veces utilizan el miedo y el pánico de las personas para lograr que los usuarios hagan lo que quieren. Entonces, cuando se enfrenta a una amenaza, es importante calmarse para poder pensar. Y cuando se trata de detectar estafas de promociones y regalos, el viejo adagio todavía se aplica: si algo suena demasiado bueno para ser verdad, probablemente lo sea.