Phishing: qué es y cómo pueden engañarlo

Suplantación de identidad

El phishing es una grave amenaza para cualquier empresa. Vi en las noticias que este tema aparece cada día más. Es posible que ya haya recibido un correo electrónico fraudulento de lo que parecía ser de su banco o puede que haya oído hablar de la piratería que tuvo lugar durante las elecciones presidenciales de EE. UU. de 2016. Pero, ¿qué sabes sobre el phishing? ¿Alguna vez te has preguntado si puedo distinguir una página web falsa de una real? En este artículo revelaré 3 tipos de phishing en el entorno online y qué es exactamente.

¿Qué es el phishing?

El phishing es un intento fraudulento de obtener información confidencial. Como información de inicio de sesión u otra información de identificación personal y podría identificar a una persona específica, como:

  • Nombre de usuario,
  • Palabras,
  • Detalles de la tarjeta de crédito,
  • CNP (código numérico personal),
  • Información de cuenta bancaria,
  • Correo electrónico,
  • Número de teléfono,
  • Respuestas a preguntas secretas

Incluso la información parcial puede aumentar las posibilidades de éxito en el caso de ataques ingeniosos.

En un intento de estafa, el atacante atraerá a la víctima, alegando ser una entidad confiable, como:

  • cama
  • Proveedores de Internet
  • Empresas minoristas
  • Tiendas y otros

Tipos de phishing

Campañas de correo electrónico engañosas

El phishing por correo electrónico es un término utilizado en tecnología para referirse a la práctica fraudulenta de enviar correos electrónicos aparentes a un remitente conocido o de confianza para inducir a las víctimas a revelar información confidencial.

Puede ser un acto dirigido o no. Podemos suponer que casi todo el mundo ya ha recibido una estafa por correo electrónico. Hoy en día, es más fácil para nosotros no darnos cuenta de estos correos electrónicos, porque la tecnología anti-spam ha evolucionado. La mayoría de estos mensajes se bloquean antes de ingresar a nuestra bandeja de entrada.

En septiembre de este año, Sucuri.net lanzó una campaña de phishing para informar a los propietarios de sitios de WordPress que su base de datos debe actualizarse.

La página de phishing se creó en un sitio legítimo de WordPress, pero fue pirateada intencionalmente. Cuando los usuarios hacen clic en “Potenciar“, Se abrió una página de inicio de sesión de WordPress falsa para que recopilaran datos de usuario.

Como parte del phishing por correo electrónico, las páginas de sitios falsos están diseñadas para verse y sentirse auténticas. Los mensajes que lo acompañan dicen que debe dar / cheque / haga clic en algo urgente y te da un enlace. Este enlace conducirá a páginas web falsas.

Sin estos correos electrónicos, muchos visitantes no caerían en la trampa de los atacantes, a excepción de los mensajes de phishing en las redes sociales y los SMS.

Los usuarios están convencidos de que los sitios visitados son auténticos y vuelven a proporcionar sus datos de autenticación. Cuando los usuarios no ven o no se dan cuenta de que la página de inicio de sesión es falsa, los atacantes reciben sus datos de inicio de sesión o la información de su tarjeta de crédito. Las credenciales robadas y la información personal se utilizan para cometer robo de identidad y actividades fraudulentas.

Aquí hay un ejemplo de una página falsa que encontró. Sucuri.net en un sitio comprometido luego de una queja. Identificaron un directorio de phishing llamado “login-apple-account” en el sitio web de un cliente. Al acceder a la ruta a través de HTTP, se engañó a los usuarios para que me dieran la contraseña y el ID de Apple:

Phishing en Google Docs

Las campañas de phishing de Google Docs son parte de las campañas de correo electrónico cuando los piratas informáticos agregan enlaces maliciosos a documentos en línea.

Es bastante común permitir el acceso a Google Docs, según asumen muchas personas. Y es normal que una organización los comparta a través de Google Drive. Cuando los usuarios hacen clic en enlaces de phishing en Google Drive, ven algo similar:

En este ejemplo, la barra de direcciones contiene una URL fraudulenta. No todos prestan atención y, como resultado, son víctimas de este tipo de estafas.

Phishing por la fuerza

En la mayoría de los tipos de ataques de phishing, los objetivos son un gran grupo de personas, por ejemplo, los usuarios de Google Docs. Sin embargo, también hay ataques en los que los objetivos son particulares.

Los ataques altamente dirigidos son menos comunes que los otros tipos de ataques de phishing que ya hemos discutido, pero ocurren.

Los estafadores tienen la intención de buscar a sus víctimas en sitios web o incluso en plataformas de redes sociales, como Facebook o Instagram, para crear una estafa personalizada que parezca legítima.

Los intentos de phishing se pueden encontrar a través del correo electrónico o la banca electrónica, que apunta a una víctima específica para leer (espiar) o robar una cantidad significativa de dinero.

Estos ataques también pueden apuntar a víctimas intermedias. Alguien que tiene acceso a la víctima real (por ejemplo, secretaria, contador, etc.) y luego usa su cuenta contra personas más importantes de la empresa o infecta su computadora con malware para acceder a la red interna de la empresa.

Medidas preventivas

Los ataques de phishing están muy extendidos y, con las vacaciones tan cerca, estas prácticas maliciosas se están volviendo aún más comunes.

Siempre debe prestar atención a los detalles al ingresar datos en cualquier lugar de la web.

A continuación, se incluyen algunos consejos que debe tener en cuenta:

  • URL sospechosas
  • Sin HTTPS,
  • Extraña redacción
  • Remitentes de correo electrónico desconocidos

Utilice 2FA siempre que sea posible. Si los delincuentes roban sus datos, no podrán utilizarlos sin el segundo medio de autenticación (SMS, autenticación, hardware, etc.).

El phishing suele ser difícil de detectar porque las páginas maliciosas se crean en las profundidades de la estructura del directorio. La gente normalmente no revisa esos directorios y si no conoce la URL exacta de la página falsa, nunca sabrá que su sitio ha sido pirateado.

Como webmaster, es una buena idea tener una cuenta en Google Search Console para informarle sobre problemas de seguridad, incluido el phishing.

Los propietarios de sitios web también pueden utilizar sitios especializados como PhishTank.com y VirusTotal.com, para averiguar si su sitio aloja páginas de phishing. Jugos también monitorea las bases de datos de 10 proveedores de seguridad y notificará a los clientes si detectan problemas con sus sitios. La mayoría de las páginas de phishing se colocan en sitios pirateados. Si no está seguro de si su sitio ha sido pirateado, puede realizar una prueba gratuita aquí.

Recomendaciones del editor:

Compartir con tus amigos:

Deja un comentario