Otras 7 estrategias de phishing que podrían dirigirse a su empresa en este momento y cómo identificarlas

por | enero 27, 2022 | Ciberseguridad, Cómo hacerlo, Guías del ATTACK Simulator

Con todos los peligros cibernéticos que merodean en los rincones oscuros de Internet, es hora de que descubra otras siete estrategias de phishing comunes que pueden estar amenazando a su empresa mientras está leyendo esto.

El phishing es la causa principal de los devastadores ataques de ransomware, del robo de datos, y de otros. Continúe leyendo para conocer algunas otras técnicas que los estafadores utilizan para obtener grandes beneficios.

Las estrategias de phishing han evolucionado hasta convertirse en estrategias muy sofisticadas a lo largo de los años.

El Phishing – ¿Qué es?

En un ataque de phishing, el phisher se hace pasar por una persona o entidad en la que el objetivo confiaría y a la que facilitaría información sensible. Por lo general, se produce a través de un correo electrónico que contiene un archivo adjunto malicioso (malware, troyano, un archivo PDF o DOC, etc.) o un enlace que redirige al destinatario a una página web de phishing para el robo de credenciales. A partir de este momento, entrar en todo el sistema de su empresa es pan comido.

7 estrategias de phishing a tener en cuenta

1. Phishing HTTPS

El HTTPS (protocolo de transferencia de hipertexto seguro) se considera una URL «segura» en la que hacer clic, porque utiliza la encriptación para maximizar la seguridad. La mayoría de las empresas de renombre utilizan ahora HTTPS y no HTTP, ya que da una fuerte sensación de legitimidad. Sin embargo, los estafadores están explotando activamente el HTTPS en los enlaces que incluyen en los correos electrónicos de phishing. Cómo detectarlo:

Cuando se trata de decidir si un enlace es legítimo o no, hay que tener en cuenta:

  • Enlace acortado: Asegúrese de que el enlace está en su forma original, de cola larga, y muestra todas las partes de la URL.
  • Hipertexto: Se trata de enlaces «clicables» incrustados en el texto para ocultar la URL real.

2. Phishing Angler

Al igual que el vishing y el smishing, el angler phishing es un ataque en el que los estafadores se aprovechan de las notificaciones o de las funciones de mensajería directa de una aplicación de redes sociales para persuadir al objetivo de que realice la acción deseada.

Cómo detectarlo:

  • Notificaciones: Tenga cuidado con las notificaciones que indican que usted ha sido incluido en una publicación, ya que pueden contener enlaces que lo redirijan a sitios maliciosos.
  • Mensajes directos inusuales: Desconfíe de los mensajes directos de personas que no suelen utilizar esta función, ya que la cuenta podría ser suplantada o recreada ilícitamente.
  • URLs a sitios web: No pulse un enlace en un DM, aunque parezca auténtico, a menos que sepa que el remitente tiene la costumbre de compartir con usted enlaces interesantes de esta manera.

3. Pharming

El pharming es un método más técnico y difícil de detectar, en el que los hackers secuestran un DNS (servidor de nombres de dominio) para traducir las URL en direcciones IP. Luego, cuando el objetivo introduce la dirección de un sitio web, el servidor DNS lo redirige a la dirección IP de un sitio engañoso que parece legítimo.

Cómo detectarlo:

  • Sitios no seguros: Tenga cuidado con los sitios web que son HTTP, no HTTPS.
  • Irregularidades en el sitio web: Esté atento a cualquier incoherencia que pueda indicar que se trata de un sitio falso, como colores que no coinciden, errores ortográficos o fuentes inusuales.

4. ‘Evil Twin’ (Gemelo malvado)

Los ataques de phishing de evil twin utilizan un punto de acceso WiFi falso, disfrazado para que parezca auténtico, que puede interceptar los datos durante la transferencia. Cuando alguien utiliza el punto de acceso, los piratas informáticos recogen sus datos, como las credenciales de inicio de sesión o la información confidencial introducida en un sitio web.

Cómo detectarlo:

  • «Inseguro»: No se confíe en ningún punto de acceso que active una advertencia de «inseguro» en su dispositivo.
  • Necesita iniciar sesión: Cualquier punto de acceso que normalmente no requiera que se inicie sesión pero que de repente le pida que lo haga es sospechoso.

5. Watering Hole Phishing (Suplantación de identidad)

El enfoque de watering hole es un sofisticado ataque de phishing que comienza con los estafadores investigando los sitios web que sus empleados visitan a menudo. Luego, infectan la dirección IP con descargas o códigos maliciosos. Cuando un empleado entra en el sitio web, descarga sin saberlo el código infectado.

Cómo detectarlo:

  • Alertas del navegador: Si un navegador web dice que un sitio podría no ser seguro, no pase por ese sitio web, incluso si es uno conocido.
  • Supervise los cortafuegos: Asegúrese de que las reglas del cortafuegos están actualizadas y supervisadas para evitar el tráfico entrante de un sitio comprometido.

6. Phishing en motores de búsqueda

Este tipo de estafa en línea utiliza los motores de búsqueda para dirigir a los usuarios a sitios que pretenden ofrecer productos o servicios a bajo precio. A continuación, si el usuario intenta comprarlo e introduce los datos de su tarjeta de crédito. El sistema de phishing los capta y los utiliza para vaciar la cuenta bancaria de la víctima.

Cómo detectarlo:

  • Ofertas demasiado buenas para ser reales: desconfíe de los productos o servicios anunciados en Internet que son demasiado baratos.
  • Sitios web incompletos: Tenga cuidado con los sitios web en los que introduce sus datos. No facilite su información personal/financiera en sitios web a menos que los compruebe a fondo y confíe en ellos.

7. Manipulación de enlaces

El phisher envía al objetivo un enlace engañoso y malicioso de un sitio web de phishing. Si el objetivo cae en la trampa y hace clic en el enlace, será redirigido a una copia de un sitio web auténtico. Puede ver la dirección real pasando el ratón por encima del enlace.

Cómo detectarlo:

  • Enlaces sospechosos: No haga clic en los enlaces de los correos electrónicos sospechosos.
  • Compruebe la dirección real: Pase el ratón por encima de la URL para revelar el enlace real.

Defienda su negocio con la formación de concienciación sobre seguridad de ATTACK Simulator

La suplantación de identidad ha ido en aumento desde hace un tiempo y se ha vuelto dolorosamente costosa, especialmente para las empresas de todo tipo. La mala noticia es que los especialistas prevén que la situación empeore aún más.

Entonces, ¿qué puede hacer para evitar estos desagradables incidentes? Bueno, los delincuentes no duermen, así que usted tampoco debería hacerlo con sus estrategias. Tenga en cuenta que suelen dirigirse al eslabón más débil de la cadena: sus empleados. Por lo tanto, hay que dar prioridad a la educación sobre las prácticas de ciberseguridad pertinentes para mantener a raya a los estafadores.

Investigar las últimas tendencias y estrategias de phishing y formar adecuadamente a sus empleados puede ser una tarea complicada, así que déjelo en manos de profesionales.

En ATTACK Simulator nos ponemos en la piel del atacante, ya que creemos que entender su forma de pensar y sus acciones es vital para diseñar una simulación precisa.

Estas son algunas de las ventajas de nuestro enfoque en las simulaciones de phishing:

  • Simulación automatizada de ataques: simulamos todo tipo de ciberataques.
  • Escenarios realistas: evaluamos la vulnerabilidad de los usuarios a la hora de ceder datos empresariales o personales mediante páginas web realistas.
  • Análisis del comportamiento de los usuarios: recogemos los datos de los usuarios y los recopilamos en extensos informes para ofrecerle una imagen detallada del nivel de concienciación de seguridad de sus empleados.
  • Réplicas de archivos maliciosos: nuestros correos electrónicos contienen repilcas de archivos maliciosos, para que la simulación sea lo más realista posible.
  • Lecciones interactivas: si los empleados no reconocen nuestras trampas y caen en una, descubrirán lecciones sobre las mejores prácticas de seguridad.
  • Imitación de marcas: nos hacemos pasar por marcas populares para que las simulaciones de phishing sean aún más realistas.

Elige estar seguro y solicite hoy mismo su presupuesto para nuestro completo programa de formación sobre concienciación en materia de seguridad.

Atribución:

Ilustraciones en línea de Storyset

Ilustraciones para redes sociales de Storyset

Ilustraciones web de Storyset

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.