Estafas de phishing: cómo detectarlas y evitarlas

Publicado: 2022-09-20
OBTENGA EL PLAN DE PROTECCIÓN CONTRA LA IMPULSACIÓN CORRECTO DISPONIBLE PARA USTED

El phishing es una de las amenazas de ciberdelincuencia más antiguas, ya que existe desde los primeros días de Internet.

Sin embargo, la estafa de phishing también es una de las mayores amenazas de seguridad cibernética que enfrenta cualquier organización, y es única en el hecho de que se dirige a personas en lugar de software o hardware.

Lo que significa que incluso si ha invertido en la infraestructura de seguridad cibernética más costosa, su organización puede estar en riesgo si un empleado vulnerable se ve comprometido por un esquema de phishing. Esta es una de las principales razones por las que el phishing es tan peligroso.

Lamentablemente, el peligro del phishing ha aumentado tanto en calidad como en cantidad en los últimos años. Según el informe de tendencias de actividad de phishing del Grupo de Trabajo Anti-Phishing (APWG), habrá 1,025,968 ataques de phishing para marzo de 2022, un aumento del 15% desde el cuarto trimestre de 2021. La sofisticación y la variedad de técnicas utilizadas en cada ataque también han aumentado en años recientes.

En este artículo, aprenderemos juntos qué es el phishing, cómo identificarlo y cómo las organizaciones pueden proteger a sus empleados y clientes de los ataques de phishing de manera más efectiva.

Al final de esta guía, habrás aprendido sobre:

  • ¿Qué es una estafa de phishing?
  • Diferentes tipos de phishing en 2022
  • Cómo reconocer los intentos de phishing
  • Cómo proteger su negocio del phishing
  • Cómo informar intentos de phishing exitosos y fallidos y mitigar el daño

Comencemos esta guía de inmediato.

¿Qué es una estafa de phishing?

El phishing es un tipo de delito cibernético en el que el perpetrador se pone en contacto con una víctima (o víctimas) objetivo mientras se hace pasar por una persona famosa o una institución legítima para atraer a esta víctima para que proporcione información confidencial, sensible y/o valiosa como información de identificación personal (PII) , detalles bancarios, información de tarjetas de crédito, credenciales de cuenta y más.

El nombre "phishing" es análogo a la pesca, y se refiere a cómo el delito cibernético "pesca" credenciales, contraseñas y otra información confidencial de sus víctimas.

La palabra phishing fue utilizada por primera vez alrededor de 1996 por piratas informáticos que robaban las entonces populares cuentas de AOL (America Online). Los piratas informáticos de fines de la década de 1990 tendían a usar la letra "ph" para reemplazar "f" (es decir, "phreaks"), de ahí el nombre "phishing".

Tradicionalmente, el phishing se realizaba a través de correos electrónicos, pero ahora el phishing puede ocurrir en varios medios de comunicación diferentes, desde llamadas telefónicas, mensajes de texto, comentarios en redes sociales, mensajes directos en redes sociales, comentarios en blogs y más.

¿Por qué los ciberdelincuentes realizan phishing?

La respuesta corta es monetizar la información robada.

Al igual que con la mayoría de las otras actividades delictivas (incluidos los delitos cibernéticos), la mayoría de los ataques de phishing tienen motivaciones financieras detrás de ellos.

Hay, sin embargo, casos en los que la motivación no es financiera, como vendetta personal o razones políticas (es decir, campañas negras), pero son relativamente raros.

Entonces, ¿cómo pueden los ciberdelincuentes ganar dinero con el phishing? Comprender sus técnicas de monetización puede ayudarlo a reconocer los intentos de phishing, y aquí hay algunos ejemplos:

  • Robar la información de su tarjeta de crédito y luego usar los detalles de la tarjeta de crédito para comprar productos en Internet.
  • Extorsión, por ejemplo, cuando los ciberdelincuentes extraen con éxito información confidencial y luego extorsionan a la víctima para que les pague algo de dinero o, de lo contrario, divulgarán la información al público.
  • Vender información confidencial/personal a otras partes (es decir, sus competidores, otros piratas informáticos). Una práctica común en la dark web.
  • Usar su información para iniciar otra estafa/actividad ciberdelincuente, por ejemplo, contactar a sus amigos usando su cuenta para estafarlos.

La anatomía de un ataque de phishing

El phishing es una forma de ingeniería social, que es el término general utilizado para referirse a una amplia gama de actividades delictivas logradas a través de interacciones humanas.

El phishing se basa en la manipulación psicológica para engañar a sus víctimas para que divulguen su información confidencial o cometan errores de seguridad.

Si bien los ciberdelincuentes pueden usar diferentes técnicas y esquemas en sus ataques de phishing, normalmente seguirán estos patrones:

  1. El perpetrador primero investiga a la víctima objetivo y/o el entorno en el que se encuentra para recopilar la información necesaria, como posibles vulnerabilidades de seguridad y otras debilidades.
  2. El perpetrador inicia el contacto tratando de ganarse la confianza de la víctima.
  3. El perpetrador:
    1. Ofrece algo valioso para desencadenar el sentido de urgencia de la víctima.
    2. Infundir miedo en la víctima objetivo, generalmente con amenazas ficticias (es decir, "su cuenta se eliminará pronto y tendremos que verificar su identidad").
  4. Se engaña a la víctima para que divulgue su información personal o sus credenciales.

Por ejemplo:

  1. El perpetrador apunta a los usuarios de Gmail como sus víctimas objetivo y ha investigado la plataforma de Gmail y sus políticas.
  2. El perpetrador envió un correo electrónico a los usuarios de Gmail con una dirección de correo electrónico que se parecía a la dirección oficial de Google (por ejemplo, con el nombre de dominio "Google.biz").
  3. El correo electrónico alerta a los usuarios de una violación de la política que requiere una acción inmediata (es decir, cambio de contraseña, cambio de pregunta de seguridad, etc.), y el correo electrónico incluirá un enlace a un sitio web falso casi idéntico a la página de inicio de sesión de Gmail.
  4. La víctima ingresa sus credenciales actuales en la página de inicio de sesión falsa y sus credenciales se envían efectivamente al atacante.

Este es solo un ejemplo de tantas técnicas y esquemas de phishing diferentes que realizan los ciberdelincuentes a diario. Sin embargo, podemos clasificar los ataques de phishing en varios tipos principales, que analizaremos a continuación.

Automatice su protección contra la suplantación de identidad con tecnología impulsada por IA

Diferentes tipos de ataques de phishing

1. Suplantación de identidad por correo electrónico

El tipo más básico de esquema de phishing, y como su nombre indica, implica que el perpetrador envíe correos electrónicos mientras se hace pasar por una marca o persona conocida.

El correo electrónico contendrá un enlace a un sitio web malicioso o un archivo adjunto que contenga malware que infectará el dispositivo del destinatario.

Cómo identificar:

Si bien los ciberdelincuentes se están volviendo más sofisticados en el lanzamiento de phishing por correo electrónico, generalmente puede buscar los siguientes signos:

  • Verifique el nombre de dominio de la dirección de correo electrónico del remitente y asegúrese de que sea legítimo.
  • Si el correo electrónico contiene información de contacto, coteje esta información de contacto con la del sitio web de la empresa de la que dice provenir el correo electrónico.
  • Evite hacer clic en cualquier enlace acortado. Esta es una técnica común utilizada para engañar a las puertas de enlace seguras de correo electrónico.
  • Vuelva a verificar cualquier logotipo que parezca legítimo y vea el código fuente. Tienden a contener atributos HTML maliciosos.
  • Sea razonablemente sospechoso cuando un correo electrónico tiene muy poco texto y solo una imagen/foto en el cuerpo. La imagen puede ocultar códigos maliciosos.

2. Suplantación de identidad (spear phishing)

Spear phishing también suele utilizar el correo electrónico como medio de comunicación principal, por lo que puede considerarse una variación del phishing por correo electrónico.

La principal diferencia radica en el enfoque más específico del phishing selectivo, que generalmente se dirige a una sola víctima (o a un pequeño grupo de víctimas).

El perpetrador primero realiza una investigación exhaustiva de la víctima objetivo para recopilar información sobre la víctima, por ejemplo, de las redes sociales, el sitio web de la empresa, etc., y luego se dirige a esta víctima con un esquema personalizado aprovechando la información recopilada como nombres reales ( del jefe o responsable de DDH de la víctima), teléfonos de trabajo, etc. para ganarse la confianza de la víctima.

En última instancia, debido a que la víctima cree en la identidad del estafador debido a la información válida que utilizó, cae en la trampa del perpetrador.

Cómo identificar:

Identificar un ataque de spear phishing puede ser más desafiante debido a la cantidad de investigación realizada por el perpetrador y la información aparentemente válida que utilizó. Sin embargo, busque lo siguiente:

  • Un correo electrónico que dice ser de su jefe o alguien importante en su empresa con archivos o documentos protegidos con contraseña que requieren que ingrese su nombre de usuario y contraseña. Este es un esquema común para robar credenciales.
  • En general, esté atento a cualquier solicitud que parezca fuera de lo común, considerando la función laboral del presunto remitente.
  • Otro esquema común es tener enlaces a documentos almacenados en Google Drive, Dropbox u otros servicios de almacenamiento basados ​​en la nube. Estos enlaces a menudo lo redirigirán a un sitio web malicioso.

3. Caza de ballenas

Otra variación de la táctica de spear phishing, caza de ballenas o también conocida como "fraude de CEO" implica que el perpetrador utilice técnicas de inteligencia de código abierto (OSINT) para encontrar el nombre del CEO de una organización o un miembro de la gerencia de alto nivel y luego hacerse pasar por esa persona usando un falso dirección de correo electrónico.

Luego, el perpetrador se dirigirá a los empleados de la empresa y le pedirá al destinatario las credenciales de su cuenta, información bancaria o incluso le pedirá al destinatario una transferencia de dinero.

Cómo identificar:

  • Vuelva a verificar la dirección de correo electrónico del remitente, asegúrese de que provenga de la dirección de correo electrónico oficial de la empresa. Un truco común es afirmar que el correo electrónico proviene de su dirección personal (es decir, que no pueden acceder al correo electrónico de su trabajo en este momento).
  • No dude en confirmarlo con otras personas de su empresa o incluso darle a la persona el correo electrónico que dice ser de una llamada.
  • Tenga mucho cuidado si el correo electrónico dice ser de alguien de su empresa que nunca antes ha hecho ningún contacto.

4. Suplantación de identidad HTTPS

Muchos de nosotros sabemos que los sitios web HTTPS están encriptados de extremo a extremo y, por lo tanto, son seguros cuando se trata de enviar información personal y credenciales.

Muchos estafadores, sin embargo, aprovechan este conocimiento en sus intentos de phishing, utilizando el protocolo HTTPS en el sitio web falso vinculado en el correo electrónico de phishing.

Cómo identificar:

  • Compruebe si el enlace utiliza hipertexto para ocultar la URL real
  • Vuelva a verificar si el enlace no está acortado y si se muestran todas las partes de la URL

5. vikingo

Abreviatura de "Voice Phishing" y, como sugiere el nombre, es un intento de phishing que ocurre a través de una llamada telefónica.

Por lo general, el perpetrador llamará durante un tiempo ocupado, coincidiendo con una temporada, período o evento estresante, afirmando ser de una empresa establecida y creando una mayor sensación de urgencia.

La idea es que la llamada cree una sensación de pánico, confundiendo al destinatario para que cometa errores de seguridad y divulgue su información confidencial.

Cómo identificar:

  • Sea razonablemente sospechoso si la llamada solicita acciones inusuales para el tipo de persona que llama, especialmente cuando solicita información confidencial o personal.
  • Verifique dos veces el número de la persona que llama si proviene de una ubicación inusual o si está bloqueada.
  • Use aplicaciones móviles que le permitan verificar la identidad de la llamada entrante de números desconocidos. Hay muchas aplicaciones de este tipo para dispositivos iOS y Android.
  • Es mejor evitar contestar llamadas de números desconocidos durante momentos o situaciones estresantes.

6. Salpicar

Abreviatura de "SMS Phishing", es un intento de phishing realizado a través de mensajes de texto (SMS).

Por lo general, el perpetrador enviará un mensaje de texto afirmando ser de organizaciones o empresas establecidas, y el mensaje de texto incluirá un enlace que contiene malware y/o que lo redirigirá a un sitio web malicioso.

Dado que muchas personas tienden a ver los mensajes de texto como más personales e "inofensivos", el smishing puede tomar a sus víctimas con la guardia baja.

Cómo identificar:

  • Antes de hacer clic en cualquier enlace, verifique directamente en el sitio web de la empresa de la que dice provenir el mensaje de texto si hay notificaciones relacionadas con las acciones solicitadas por el mensaje de texto.
  • No dude en ponerse en contacto con el número que figura en el sitio web legítimo de la empresa y confirmar la legitimidad del mensaje de texto.
  • Revise el código de área y el número del remitente y compárelos con su lista de contactos antes de hacer clic en cualquier enlace o realizar cualquiera de las acciones sugeridas.

7. Suplantación de identidad de pescadores

El phishing de pescadores es un tipo específico de phishing dirigido a los usuarios de las redes sociales, que involucra principalmente al perpetrador que utiliza cuentas de redes sociales falsas que se hacen pasar por empresas o personas conocidas.

El phishing de pescadores aprovecha especialmente el hecho de que las interacciones entre empresas y clientes en las redes sociales son cada vez más frecuentes y esperadas. El perpetrador interactúa con las víctimas objetivo a través de notificaciones y mensajes directos para engañarlas para que cometan errores de seguridad.

Cómo identificar:

  • Vuelva a verificar la cuenta en busca de una marca azul (cuenta verificada).
  • Tenga cuidado con las notificaciones que incluyen enlaces que pueden redirigirlo a sitios web maliciosos.
  • Evite hacer clic en cualquier enlace en un DM que provenga de personas que rara vez comparten enlaces (o personas/cuentas que nunca le enviaron mensajes), incluso si el enlace parece legítimo.
  • Si algún DM proviene de personas que conoce que rara vez le enviaron mensajes, verifique dos veces la cuenta, ya que puede ser falsificada o recién creada.

8. Farmacia

Pharming es una forma bastante avanzada de phishing, cuyo nombre es un acrónimo de "phishing" y "farming".

Una técnica común de pharming consiste en que el perpetrador secuestra un DNS para redirigir a los usuarios que intentan llegar a un sitio web específico a un sitio web falso.

Un intento de pharming sofisticado puede ser muy difícil de detectar.

Cómo identificar:

  • Vuelva a verificar la URL del sitio web si está usando HTTP en lugar de HTTPS
  • Busque inconsistencias como errores tipográficos, colores que no coinciden, diseños inapropiados, contenido delgado, etc., que pueden significar un sitio web falso.

Cómo proteger su negocio del phishing

Anteriormente, aprendimos a reconocer los principales tipos de técnicas de phishing y los pasos básicos para protegerse de ellas.

En esta sección, también analizaremos algunas de las mejores prácticas importantes a seguir para protegerse a usted y a su empresa de varios ataques de phishing:

1. Educa a tus empleados

Dado que el phishing es básicamente ingeniería social , la primera línea de defensa que debe tener es asegurarse de que sus empleados tengan la educación y la capacitación necesarias para reconocer los intentos de phishing y proteger sus credenciales/información confidencial.

Haga que la capacitación sobre concientización sobre el phishing sea parte de su programa de incorporación de empleados y actualice periódicamente la capacitación para incluir nuevas metodologías y tendencias.

2. Requerir autenticación multifactor

Requerir autenticación multifactor puede mitigar el riesgo de phishing exitoso en situaciones en las que se engaña a sus empleados para que divulguen sus credenciales.

Con la autenticación multifactor, requerirá que sus empleados proporcionen otra información además de su contraseña antes de que puedan iniciar sesión en sus redes y aplicaciones.

La información secundaria (o más) puede ser:

  • Algo que son: biométricos como identificación facial o huella digital
  • Algo que saben: otra contraseña, PIN, respuesta a preguntas de seguridad, etc.
  • Algo que tienen: un dispositivo para emparejar, una tarjeta llave, un dongle USB, etc.

3. Copia de seguridad regular

Los ataques de phishing exitosos pueden causar una infección de malware, incluido el ransomware, lo que puede hacer que pierda el acceso a ciertos archivos/aplicaciones e incluso una falla total del sistema.

Para mitigar este riesgo, mantenga una copia de seguridad de sus datos con regularidad.

Recomendamos seguir los principios de copia de seguridad 3-2-1: 3 copias de sus datos, en 2 medios diferentes, 1 de ellos fuera del sitio.

Detener la suplantación de su marca en los ataques de phishing

Otra preocupación relacionada con el phishing es cuando los ciberdelincuentes utilizan su dominio o marca como parte de su plan de phishing.

Aunque técnicamente no es su culpa, las víctimas de ataques de phishing pueden culpar a la marca que el estafador se está haciendo pasar, causando un impacto negativo en la reputación de la marca.

Si bien puede ser muy difícil, si no imposible, prevenir al 100 % que los ciberdelincuentes se hagan pasar por su marca, existen pasos que su empresa puede tomar para mitigar el riesgo:

  • Utilice certificados SSL (HTTPS) en su sitio web. De esta manera, cuando un estafador quiera hacerse pasar por su sitio web, deberá obtener un certificado SSL legítimo además de uno falso. Esto puede desanimarlos.
  • Use protocolos como DKIM o DMARC para agregar verificación a los correos electrónicos que envía o recibe su empresa. Esto puede evitar que partes externas envíen correos electrónicos falsos usando su nombre de dominio, lo que previene efectivamente el phishing de correo electrónico.
  • Registre variaciones de sus nombres de dominio (diferentes TLD, posibles errores ortográficos, etc.) para evitar que estas variaciones se utilicen en intentos de phishing.
  • Utilice Red Points Domain Management para ayudar a proteger los nombres de dominio de su empresa en tiempo real. Red Points puede detectar de manera efectiva los intentos de phishing utilizando su nombre de dominio en muchas plataformas diferentes en piloto automático, sin necesidad de intervención manual. Red Points también puede ayudarlo a eliminar sitios web falsos de suplantación de identidad antes de que tengan un impacto negativo en su reputación.

Que sigue

Si bien existen muchos tipos diferentes de ataques de phishing realizados por estafadores y ciberdelincuentes, todos los ataques de phishing tienen las siguientes características comunes:

  • Crear un sentido de urgencia: el perpetrador a menudo lo insta a actuar rápido, ya sea asustándolo con una amenaza urgente ficticia o atrayéndolo con una oferta por tiempo limitado. Algunos esquemas de phishing incluso le dirán que solo tiene unos minutos para responder.
  • Demasiado bueno para ser verdad: el phishing a menudo implica ofertas y reclamos llamativos y atractivos. Por ejemplo, afirmar que ha ganado un iPhone y pedirle que haga clic en un enlace.
  • Remitente inusual: preste especial atención a la URL del sitio web y la dirección de correo electrónico del remitente. Si el correo electrónico proviene de alguien que no reconoce o si ve algo fuera de lo común, evite hacer clic en cualquier cosa.
  • Enlaces sospechosos: no haga clic en ningún enlace a menos que esté 100% seguro. Puede pasar el cursor sobre el enlace para verificar la URL real y observar detenidamente si la URL es legítima.
  • Archivos adjuntos peligrosos: nunca haga clic en ningún archivo adjunto en un correo electrónico del que no esté 100% seguro. El archivo adjunto puede contener malware, ransomware u otros virus.

Si bien no existe una forma única de evitar los ataques de phishing, puede usar una combinación de los consejos anteriores para prevenirlos y mitigar el daño.

También es crucial recordar que además de establecer una sólida infraestructura de ciberseguridad y mejores prácticas, otro elemento crucial para prevenir el phishing es la educación . Cuando se trata de phishing y otros esquemas de ingeniería social, su organización es tan segura como la persona menos informada en ella.