Comprender es el primer paso para combatir el phishing: tipos, metodología y consejos de prevención
Según el Informe de investigaciones de violaciones de datos (DBIR) de de Verizon, el phishing es la principal causa de violaciones de datos. Los datos también nos muestran que el phishing también se utiliza ampliamente para el ciberespionaje: más de las tres cuartas partes de todos los incidentes conocidos involucran phishing.
Las estadísticas también se reflejan en los hallazgos de IBM en el informe Costo de una violación de datos de , donde el cincuenta y uno por ciento de los incidentes en todas las organizaciones encuestadas involucraron ataques maliciosos con «infecciones de malware, delincuentes internos, phishing/ingeniería social e inyección SQL».
Claramente, el phishing sigue dominando como una de las herramientas de ciberataques más persistentes y altamente efectivas. En este artículo, analizaremos en profundidad qué es el phishing, sus tipos y cómo proteger su empresa de este tipo de ataques.
¿Qué es el phishing?
En pocas palabras, el phishing no es más que un uso engañoso de las comunicaciones electrónicas para engañar a los usuarios para que revelen información sensible y, a menudo, altamente confidencial. Los tipos de información confidencial que los atacantes consideran de alto valor dependerán del contexto del ataque, pero generalmente incluyen credenciales de acceso, información financiera o de identificación personal y más.
La mayoría de los ataques de phishing se llevan a cabo por teléfono o correo electrónico, donde los atacantes se hacen pasar por personas u organizaciones legítimas con las que el objetivo está familiarizado y utilizan la ingeniería social para provocar una respuesta emocional. Esta respuesta está diseñada para divulgar información confidencial que posee el objetivo. Los ataques de phishing se distinguen de otros tipos de ciberataques porque el modus operandi implica confiar en la confianza de los usuarios para otras personas o marcas y organizaciones de renombre. Incluso pueden explotar las creencias de un individuo pretendiendo apoyar una causa que le interesa al usuario. Por ejemplo, justo después de que comenzara la pandemia, hubo una oleada de ataques de phishing por parte de entidades que afirmaban representar a organizaciones filantrópicas de gran reputación con el fin de capitalizar los altos niveles de empatía de las personas en respuesta a un desastre global.
Los ataques de phishing pueden variar desde ataques de red amplios dirigidos a cientos de miles de personas en todo el mundo o pueden estar muy dirigidos a personas o empleados que trabajan en empresas específicas. Los ataques de phishing también se han utilizado históricamente para el ciberespionaje contra empresas o naciones.
Tipos de phishing
Los ataques de phishing suelen incitar a los usuarios a realizar una de dos acciones básicas:
- Divulgar información confidencial : por ejemplo, el correo electrónico puede contener un enlace a un sitio web falso de una fuente altamente confiable, como un banco, o una forma de pago y solicitar a los usuarios que ingresen sus credenciales confidenciales. Los ataques a páginas de inicio de sesión falsas son muy populares y, a menudo, utilizan réplicas exactas de sitios web confiables y muy visibles.
- Haga clic en enlaces maliciosos y descargue malware : estos ataques son más sencillos y generalmente pretenden recompensar al usuario de alguna manera, como un premio inesperado o, muy inofensivo, como un archivo zip de un documento que realmente necesita, como una biografía/ currículum vitae u otros documentos relacionados con el trabajo. La descarga del malware a menudo puede resultar en el secuestro de archivos importantes del sistema o de todo el sistema o la red, a menos que se cumplan las demandas del atacante.
En términos generales, los tipos de phishing pueden incluir:
Phishing de lanza
Los ataques de phishing altamente dirigidos contra individuos se denominan Spear Phishing. En este tipo de ataque, los delincuentes espían a los objetivos utilizando información disponible públicamente, incluidos canales sociales, y utilizan direcciones de correo electrónico falsas para aparecer como alguien de una fuente confiable. Por ejemplo, si usted es el objetivo, el ataque podría tomar la forma de un correo electrónico de su jefe o jefe de departamento/sucursal pidiéndole o «indicándole» que complete una transacción financiera.
Ballenero
La caza de ballenas es exactamente como el phishing, excepto que los objetivos son generalmente personas de alto perfil con oficinas o puestos clave en lugares de poder en instituciones públicas o privadas. Estas personas de alto valor a menudo se encuentran bajo una inmensa presión de tiempo o simplemente tienden a utilizar sus correos electrónicos personales en lugar de los canales corporativos para facilitar la comunicación. Esto también los deja fuera de la protección que ofrece la red corporativa y los deja vulnerables. Engañar a objetivos de alto valor puede requerir tiempo y preparación para los atacantes, pero las altas recompensas hacen que valga la pena para los atacantes.
Compromiso del correo electrónico empresarial (BEC)
Imagine que recibe un correo del presidente o director ejecutivo de su empresa pidiéndole que tome alguna medida urgente. Si no está en línea directa de visión con el líder empresarial, ¿no es probable que cumpla con la solicitud lo antes posible? Este es exactamente el tipo de respuesta que los ataques de compromiso de correo electrónico empresarial (BEC) tienden a explotar. A menudo afirman ser líderes de alto perfil en empresas clave o instituciones financieras o de gobierno que piden a las víctimas que tomen medidas como iniciar sesión en cuentas específicas o iniciar una transacción financiera, como una transferencia de dinero global a una cuenta específica.
Clonar phishing
El phishing clonado implica crear una comunicación por correo electrónico que es una copia del mensaje original con el que el objetivo está familiarizado. La única diferencia entre el mensaje original y el clonado es el archivo adjunto o enlace contenido en el mensaje que se intercambiará por uno malicioso en la copia clonada. A menudo, los ataques clonados se envían siguiendo mensajes originales de fuentes legítimas, que afirman ser la versión «actualizada». Los ataques clonados también pueden involucrar sitios web clonados con dominios falsificados.
Vishing: phishing en llamadas telefónicas
El phishing por voz, o vishing, implica mensajes de voz de entidades que afirman ser empresas legítimas, como instituciones gubernamentales o financieras, y solicitan a la víctima información confidencial, como números de cuenta o contraseñas.
Smishing: phishing a través de mensajes de texto
El phishing por SMS, o smishing, implica engañar a objetivos a través de mensajes de texto haciéndoles creer que provienen de fuentes confiables, como personas o empresas en las que el usuario confía. Dado que las personas son cada vez más cautelosas con los correos electrónicos y se comunican principalmente a través de mensajes de texto, el smishing está aumentando como una herramienta exitosa para engañar a los usuarios para que divulguen información confidencial.
raquetas de nieve
Los ataques con raquetas de nieve suelen enviar la comunicación a través de múltiples dominios y direcciones IP. Cada uno de estos envía mensajes en volúmenes bajos, por lo que los sistemas de filtración de spam tardan en detectarlos. Estos ataques también se pueden coordinar para enviarse en grandes volúmenes, pero en períodos de tiempo más cortos, lo que resulta en ataques de tipo granizo.
Para obtener más detalles sobre la evolución de los tipos de ataques de phishing y aprender cómo protegerse contra ellos, considere comunicarse con proveedores en IT Support Houston .
Qué hacer si respondió a un correo electrónico de phishing
Si cree que ha sido víctima de un intento de phishing, comuníquese con RobodeIdentidad.gov y siga las instrucciones que allí se indican para denunciar el ataque lo antes posible.
Si sospecha que ha descargado malware por accidente, considere actualizar el software de seguridad de su red o computadora y ejecutar un análisis completo.
Consejos sobre cómo identificar ataques de phishing
Por más sofisticados que puedan ser los intentos de phishing, siempre hay signos reveladores en la copia del correo electrónico que pueden llamar la atención después de una inspección cuidadosa:
- Promete recompensas muy lucrativas por poco esfuerzo
- ‘Errores tipográficos’ en ortografía y gramática
- Direcciones genéricas (como «hola querida», «saludos», etc.)
- Tono muy emocional o amenaza de acción (que suena falso con el temperamento habitual del remitente)
- Archivos adjuntos inusuales, especialmente archivos .exe ejecutables
- Letras adicionales en direcciones de sitio web o dominio
Consejos sobre cómo prevenir ataques de phishing
El departamento de TI de su empresa debe ser lo suficientemente proactivo para evitar intentos de phishing y puede incluir muchas medidas técnicas, entre ellas:
- Implemente filtros confiables de spam de correo electrónico que utilicen técnicas de aprendizaje automático y procesamiento del lenguaje natural.
- Correo electrónico entrante en “zona de pruebas”, para que los usuarios siempre estén protegidos contra hacer clic en enlaces maliciosos
- Fomentar el uso del protocolo DMARC para proteger contra la suplantación de correo electrónico.
- Habilite la autenticación de dos factores en todos los dispositivos con acceso a la red de la empresa.
- Monitoriza y analiza el tráfico web en todo momento
- ‘Prueba’ la infraestructura de su empresa para detectar vulnerabilidades
- Concientizar a los usuarios sobre posibles amenazas
- Fomente el estado de alerta de los usuarios con recompensas por detectar correos electrónicos de phishing, etc.
- Practique una higiene avanzada de contraseñas y obligue a los usuarios a cambiarlas periódicamente
Houston IT Services puede ser un buen lugar para comenzar a saber más sobre la prevención del phishing y las tácticas para proteger su negocio de atacantes sofisticados.
Autor: Scott Young
Scott Young, es el presidente de PennComp LLC, una empresa de subcontratación de TI de Houston . Como contador público certificado, Six Sigma Master Blackbelt, certificado en gestión de cambios y calificado por Myers Briggs, la experiencia de Scott se refleja en PennComp como empresa de TI líder en servicios informáticos e integración de redes. PennComp utiliza metodologías y prácticas Six Sigma en la prestación de servicios y ofrece herramientas de gestión y seguimiento de última generación a sus clientes.