5 Tipos de phishing que puedes evitar

Las técnicas de phising están vinculadas a la Ingeniería Social e involucran atacantes que se hacen pasar por una entidad conocida para robar información confidencial.

El phishing se trata de una técnica de ingeniería social muy comúnmente utilizada por los cibercriminales para obtener información confidencial de los usuarios de forma fraudulenta.

Esta información que puede ser, por ejemplo, datos de contraseñas o tarjetas de crédito, se usan posteriormente para realizar algún tipo de fraude.

Vamos a tratar los 5 tipos de Phishing que existen a día de hoy;

• 1 Phishing tradicional

Este tipo de ataque es el más sencillo a la hora de analizarlo técnicamente; normalmente está  vinculado a la copia de un sitio conocido por la víctima, en el cual se cambia la dirección a donde llegan los datos ingresados.

De este modo, el ciberdelincuente roba las credenciales ingresadas por la víctima, que pueden estar alojadas en texto plano en un archivo de texto o ser enviadas a alguna casilla de correo electrónico.

La principal característica del phishing tradicional es que está ligado a un solo sitio web en el cual se alojan todos los contenidos del portal falso.

En la imagen siguiente, podemos observar un sitio de phishing que afecta a Google, el cual ha sido montado sobre otro presuntamente vulnerado, que luego fue utilizado para montar el sitio fraudulento.

• 2 Phishing redirector

Esta técnica es utilizada en campañas masivas, por lo tanto si bien estos ataques tienen un muy bajo porcentaje de víctimas, existe una gran cantidad de usuarios afectados y por ende credenciales comprometidas.

Este procedimiento cuenta con un nivel mayor de complejidad y a diferencia del anterior, utiliza por lo menos dos o más sitios o dominios para perpetuar la estafa.

Existen varias formas conocidas y que pueden estar clasificadas dentro de este tipo de phishing.

Sin embargo, podemos destacar tres técnicas que desde Comalis comúnmente detectamos, que corresponden al uso de acortadores en las URLs, la inyección de los conocidos Iframes y la explotación de técnicas ligadas a los marcos en el código HTML.

Si bien son conceptos distintos, todos tienen en común que utilizan una redirección para reflejar un sitio almacenado en determinado servidor desde otro servidor.

Este será visible sólo bajo un estudio del código fuente.

Los delincuentes intentan alargar el tiempo que le toma a los equipos de seguridad detectar y eliminar el contenido de los sitios fraudulentos.

• 3 Spear phishing

Esta clase tiene como principal diferencia que está dirigido a personas o grupos reducidos. De esta manera las campañas son mucho más personificadas y con un porcentaje mayor de víctimas.

Raramente se ven casos que afecten entidades bancarias o redes sociales, debido a que no buscan la masividad sino todo lo contrario; en realidad, este tipo de métodos es utilizado en ataques como los APTs, apuntando a empleados de empresas con perfiles determinados.

Esto significa que las víctimas podrían recibir correos personalizados con nombre y apellido, incluso falsificando direcciones conocidas para generar una mayor empatía y confianza de un navegante incauto.

Debemos tener en cuenta que si los ciberdelincuentes quisieran adentrarse en los sistemas buscarían el eslabón más débil dentro de la red.

De este modo, no debemos esperar que el Gerente de Sistemas sea el blanco principal de este tipo de ataque, sino alguien con menos conocimientos técnicos de informática, como en muchos casos es alguien de áreas no relacionadas (por ejemplo, administración o recursos humanos).

Esta metodología, en conjunto con Ingeniería Social y un estudio previo de las víctimas, da como resultado una sólida técnica con la que muy fácilmente se podría comprometer un sistema o red corporativa bajo el robo de credenciales.

Por tal motivo, resulta fundamental una vez más la concienciación y capacitación de los empleados en buenas prácticas de Seguridad de la Información.

•  4 Smishing (SMS)

El email sigue siendo el canal predilecto para las comunicaciones importantes, pero con la caída del SMS, y su paulativo uso para notificaciones importantes o segundos factores de autenticación, el mensaje de texto empieza a verse como una herramienta fiable para lanzar campañas de phishing.

• Hacer clic en un hipervínculo
• Llamar a un número de teléfono
• Responder a un mensaje de texto

El smishing no es más que un phishing vía SMS, que habitualmente tiene como cometido que envíes un mensaje a un número de tarificación especial  , la suscripción a servicios premium (esto es, pagos recurrentes) o la multicanalidad con vista a unacampaña de phishing avanzada (después de que el supuesto departamento de seguridad de Microsoft te contacte por mail para avisarte que te va a mandar ahora un SMS y debes confirmarles la clave, harás sencillamente todo lo que ellos te pidan).

• 5 Vishing

Como mencionamos arriba, existe la instauración de falsos centros de atención telefónica que realizan llamadas con el objetivo de realizar un fraude, y se los relaciona con casos de vishing.

Este ataque muchas veces está relacionado con otro, de forma que se complementen para lograr una mayor credibilidad y de esta manera engañar a la víctima de una forma más sencilla y eficaz.

¿Qué podemos hacer para defendernos?

• Ante todo, pensar: La mayoría de ataques se basan en alguno de los principios de la ingeniería social, sobre todo, en el de la Urgencia. La mejor herramienta que tenemos para defendernos de un phishing es el sentido común. Pararnos y pensar si lo que estamos a punto de hacer tiene sentido, o si lo haríamos si en vez de ser en el mundo digital fuera en el físico.
• Fijarse en el emisor: ¿Resultaría raro que PayPal se pusiera en contacto con nosotros desde una cuenta de hotmail, verdad? O que esa centralita que nos llama pidiéndonos nuestros datos personales tenga un formato de teléfono móvil. Estos aspectos pueden darnos pistas para levantar las murallas antes de tiempo, y evitarnos disgustos futuros.
• Nadie cambia “duros por pesetas”: No esperes que alguien te envíe toda su fortuna son motivo aparente, debes desconfiar.
• Una buena política de seguridad: Sobre todo enfocado al mundo corporativo. El phishing, como comentábamos, es capaz de entrar hasta la cocina de cualquier sistema… pero cualquier medida de control que establezcamos disminuye su tasa de acierto. Porque si cualquier empleado es engañado, pero este no tiene permisos para acercarse al resto del sistema de la compañía, es posible que el ataque se quede ahí.
• Y por último: Educación. Simplemente por haber leído este artículo está ahora mismo más preparado para contener los efectos de un phishing. Si educamos a nuestros trabajadores, a nuestro entorno, en la capacidad crítica ante los peligros del mundo virtual, toda la seguridad alrededor nuestra se fortalece. Incluso más que invirtiendo millones por sistemas avanzados de control en tiempo real.

Recuerda que en nuestro centro de soluciones, tienes numerosas guías que te ayudarán a mejorar la gestión de tu infraestructura TI.