El Internet es un lugar maravilloso donde se pueden encontrar respuestas a casi cualquier pregunta, pero las amenazas desagradables se esconden en sus rincones oscuros, a la espera de la víctima perfecta para el «phishing».
A medida que la tecnología avanza, las técnicas de phishing son cada vez más sofisticadas.
Para prevenir con éxito los ataques de phishing, debe proporcionar a sus empleados conocimientos sólidos sobre las técnicas de phishing que utilizan los delincuentes. Además, deberían estar equipados con las mejores prácticas antiphishing para cada método de phishing existente para protegerse a sí mismos y a su negocio.
¿Qué es el phishing?
El phishing es un ciberataque en el que los ciberdelincuentes se presentan como una entidad o persona de confianza, utilizando diversas vías de comunicación online para distribuir enlaces o archivos adjuntos maliciosos que pueden realizar diversas funciones, pero con un único fin: robar los datos de la víctima para obtener un beneficio económico.
Este tipo de fraude en línea utiliza sutiles y sorprendentes estrategias de ingeniería social que permiten a los ciberdelincuentes, que aprovechan la confianza de las personas, robar los datos sensibles de la víctima, lo que resulta mucho más fácil que traspasar las defensas de un ordenador o de una red.
¿Cuáles son las técnicas de phishing que deben conocer sus empleados?
Las técnicas de phishing se adaptan al desarrollo de la tecnología, lo que significa que la siguiente lista nunca las cubrirá todas. Pero siempre seguirán una única premisa: el error humano (la confianza equivocada, las acciones no informadas.
Dicho esto, vamos a sumergirnos en las 14 técnicas de phishing más comunes que existen.
1. Spear Phishing
A diferencia del phishing tradicional, en el que los atacantes utilizan la distribución masiva de correos electrónicos sin objetivo y esperan engañar al mayor número de personas posible, los ataques de spear-phishing son personalizados y se lanzan a una organización o individuo específico tras una sólida investigación sobre el objetivo.
2. Secuestro de sesión
Este método de phishing explota el mecanismo de control de la sesión web para extraer la información del usuario. Conocido como ‘session sniffing’, el phisher puede utilizar un sniffer (dispositivo de rastreo) para recopilar datos relevantes que le ayuden a acceder ilícitamente al servidor web.
3. Email/Spam
La más sencilla y frecuente de las técnicas de phishing consiste en enviar un correo electrónico malicioso a millones de usuarios, pidiéndoles que introduzcan información personal.
El mensaje falso suele tener un sentido de urgencia, pidiendo a la víctima que introduzca sus credenciales, actualice la información de la cuenta, verifique las cuentas o acceda a un enlace malicioso proporcionado en el correo electrónico.
4. Entrega a través de la web
Esta es una de las técnicas de phishing más sofisticadas en la actualidad. El hacker se coloca entre el sitio web real y el sistema de phishing, una estrategia también conocida como «man-in-the-middle».
El phisher recopila la información personal de la víctima al introducirla en un sitio web legítimo durante una transacción. El usuario no puede detectar la exfiltración de datos.
5. Inyección de contenidos
El hacker cambia parcialmente el contenido de un sitio web de confianza.
El propósito es hacer que el objetivo se dirija a una página fuera del sitio legítimo, donde se le pide que introduzca información personal.
6. Motores de búsqueda phishing
Este tipo de estafa en línea utiliza los motores de búsqueda para dirigir al usuario a sitios que pretenden ofrecer productos o servicios a bajo precio. A continuación, si el usuario intenta comprarlo e introduce los datos de su tarjeta de crédito. El sistema de phishing lo capta y lo utiliza para vaciar la cuenta bancaria de la víctima.
7. Phishing de voz (Vishing)
El phishing de voz consiste en que los hackers llamen por teléfono a los usuarios y les pidan que marquen un número determinado. El objetivo es obtener información de cuentas bancarias a través del teléfono utilizando un identificador de llamadas falso.
8. Malware
Este método requiere que el malware se ejecute en el dispositivo de la víctima. Lo más frecuente es que el software malicioso esté incluido en un correo electrónico enviado al usuario por el phiser.
9. Phishing por SMS (Smishing)
Se trata de un ataque de phishing realizado a través de SMS. Un texto de ataque intentará atraer al objetivo para que proporcione información personal después de acceder a un enlace que lleva a un sitio web malicioso.
10. Manipulación de enlaces
El phisher envía al usuario un enlace engañoso a un sitio web malicioso. Si el objetivo cae en la trampa y hace clic en el enlace, será redirigido a una copia de un sitio web real. Puede ver la dirección real pasando el ratón por encima del enlace.
11. Keyloggers
Un keylogger es una forma de malware que registra las entradas del teclado, que posteriormente se envían a los hackers. Esta información la utilizan para descifrar contraseñas y obtener todo tipo de datos personales.
12. Troyanos
Esta estafa está muy extendida entre las técnicas de phishing, y consiste en utilizar una forma de malware (troyano) diseñada para engañar a la víctima con una acción que parece legítima. Sin embargo, lo que realmente hace es permitir el acceso no autorizado a la cuenta de usuario para recoger las credenciales.
13. Ransomware
El ransomware encripta los archivos de un dispositivo y niega a la víctima el acceso a ellos a menos que se pague un rescate. El usuario descarga el malware tras ser engañado para que haga clic en un enlace malicioso, para que abra un archivo adjunto o para que haga clic en anuncios maliciosos.
14. Malvertising
Por último, pero no menos importante de las técnicas de phishing, la publicidad maliciosa utiliza scripts activos creados para descargar malware o introducir por la fuerza contenidos no deseados en el dispositivo de la víctima. Los métodos más comunes explotan Adobe PDF y Flash.
Ahora que sabe cuáles son las 14 técnicas de phishing más comunes, no pierda ni un minuto más confiando en la suerte y proteja a sus empleados y a su empresa de las amenazas en línea con el programa de formación de concienciación sobre seguridad de ATTACK Simulator. ATTACK Simulator . Proporcionaremos a su personal los conocimientos necesarios para detectar y prevenir todas las técnicas de phishing presentadas anteriormente.
Obtenga su presupuesto aquí.
Atribución:
