Los ataques de phishing han existido desde los primeros días de Internet. Los ciberdelincuentes han estado perfeccionando sus técnicas desde 1990, por lo que se han vuelto más sofisticado la manera en la que buscan dañar los sistemas de una empresa.
Fundamentalmente, el phishing es una metodología de ataque que utiliza tácticas de ingeniería social para hacer que una persona realice una acción que va en contra de sus intereses.
Ya hemos hablando de que es el phishing en un artículo anterior, por lo que esta vez queremos centrarnos en cuáles son los tipos de ataque para que las empresas puedan prevenirlos .
1. Suplantación de identidad por correo electrónico
La mayoría de los ataques de phishing se envían por correo electrónico. El delincuente registra un dominio falso que imita a una organización genuina y envía miles de solicitudes genéricas.
El dominio falso a menudo implica agregar o suplantar caracteres para engañar a los remitentes de un correo.
También pueden utilizar el nombre de la organización en la parte de la dirección de correo electrónico para intentar que aparezca cómo remitente una empresa conocida.
Hay muchas maneras de detectar un correo electrónico de phishing, pero como regla general, es recomendable comprobar la dirección de correo electrónico para verificar que se igual a la de una empresa fiable.
2. Suplantación de identidad
Existen otros dos tipos de phishing, más sofisticados, que afectan al correo electrónico. El primero, el spear phishing, que es un intento, también a través del correo electrónico para obtener datos confidenciales como nombre, domicilio, etc. Aunque el objetivo primordial es tratar de robar información, también los delicuentes pueden intentar instalar malware en el equipo de la víctima.
Es importante que no abras o des clic a enlaces de origen desconocido, pues es la manera más fácil que tienen de atacar los equipos de tu empresa o tu computadora.
3. Whaling
Los ataques de «whaling» son aún más selectivos y apuntan a los altos ejecutivos. Aunque el objetivo final del whaling es el mismo que el de cualquier otro tipo de ataque de phishing, la técnica suele ser mucho más sutil.
Trucos cómo los enlaces falsos y las URL maliciosas no son útiles en este caso, ya que los delincuentes intentan imitar a los altos cargos.
Las estafas relacionadas con declaraciones de impuestos falsas son una variedad cada vez más común, así como los formularios de impuestos son muy valorados por los delincuentes, ya que contienen una gran cantidad de información útil: nombres, direcciones, números de la Seguridad Social e información de cuentas bancarias.
4. Smishing y vishing
Tanto en el smishing como en el vishing, el teléfono sustituye al correo electrónico como método de comunicación. El smishing consiste en que los delincuentes envían mensajes de texto (cuyo contenido es muy parecido al del phishing por correo electrónico), y el vishing implica una conversación telefónica.
Una estafa común de vishing consiste en que un delincuente se hace pasar por un investigador de fraudes (ya sea de la compañía de tarjetas o del banco) y le dice a la víctima que su cuenta ha sido violada.
El delincuente pedirá entonces a la víctima que facilite los datos de la tarjeta de pago para verificar su identidad o que transfiera dinero a una cuenta «segura», es decir, la cuenta del ciberdelicuente.
5. Phishing en Redes Sociales
Las redes sociales, un vector de ataque relativamente nuevo, ofrecen a los delincuentes varias formas de engañar a la gente. Las URL falsas, los sitios web, las publicaciones y los tweets clonados, y la mensajería instantánea, pueden utilizarse para persuadir a las personas de que divulguen información sensible o descarguen malware.
Por otra parte, los delincuentes pueden utilizar los datos que la gente publica voluntariamente en las redes sociales para crear ataques muy específicos.
Si tienes empleados la manera más fácil y que tiene mejores resultados es mitigar el riesgo de phishing con medios tecnológicos, como los filtros de spam, o firewall que impiden que los ciberdelicuentes obtengan la información de tu empresa.
Consulta a un especialista en : ventas@accessq.com.mx o al teléfono en la Ciudad de México: / +52 55 1654 9001 para recibir ayuda personalizada y proteger a tu empresa de phishing.