Con todos los peligros cibernéticos que merodean en los rincones oscuros de Internet, es hora de que descubra otras siete estrategias de phishing comunes que pueden estar amenazando a su empresa mientras está leyendo esto.
El phishing es la causa principal de los devastadores ataques de ransomware, del robo de datos, y de otros. Continúe leyendo para conocer algunas otras estrategias de phishing que los estafadores utilizan para obtener grandes beneficios.
El Phishing – ¿Qué es?
En un ataque de phishing, el phisher suplanta a una persona o entidad en la que el objetivo confiaría y entregaría información sensible. Por lo general, se produce a través de un correo electrónico que contiene un archivo adjunto malicioso (malware, troyano, un archivo PDF o DOC, etc.) o un enlace que redirige al destinatario a una página web de phishing para el robo de credenciales. A partir de este momento, entrar en todo el sistema de su empresa es pan comido.
7 estrategias de phishing a tener en cuenta
1. Phishing HTTPS
Se cree que el HTTPS (protocolo de transferencia de hipertexto seguro) es una URL «segura» donde hacer clic porque utiliza la encriptación para maximizar la seguridad. La mayoría de las empresas de renombre utilizan ahora HTTPS y no HTTP, porque da una fuerte sensación de legitimidad. Sin embargo, los estafadores están explotando activamente el HTTPS en los enlaces que incluyen en los correos electrónicos de phishing. Cómo detectarlo:
Cuando se trata de decidir si un enlace es legítimo o no, hay que tener en cuenta:
- Enlace acortado: Asegúrese de que el enlace está en su forma original, de cola larga, y muestra todas las partes de la URL.
- Hipertexto: Se trata de enlaces «clicables» integrados en el texto para ocultar la URL real.
2. Phishing Angler
Al igual que el vishing y el smishing, el phishing angler es un ataque en el cual los estafadores se aprovechan de las notificaciones o de las funciones de mensajería directa de una aplicación de redes sociales para persuadir el objetivo que realice la acción deseada.
Cómo detectarlo:
- Notificaciones: Tenga cuidado con las notificaciones que indican que usted ha sido incluido en una publicación, ya que pueden contener enlaces que lo redirijan a sitios maliciosos.
- Mensajes directos inusuales: Desconfíe de los mensajes directos de personas que no suelen utilizar esta función, ya que la cuenta podría ser suplantada o recreada ilícitamente.
- URLs a sitios web: No pulse un enlace en un DM, aunque parezca auténtico, a menos que sepa que el remitente tiene la costumbre de compartir con usted enlaces interesantes de esta manera.
3. Pharming
El pharming es un método más técnico y difícil de detectar, en el cual los hackers secuestran un DNS (servidor de nombres de dominio) para traducir las URL en direcciones IP. Luego, cuando el objetivo introduce la dirección de un sitio web, el servidor DNS lo redirige a la dirección IP de un sitio engañoso que parece legítimo.
Cómo detectarlo:
- Sitios no seguros: Tenga cuidado con los sitios web que son HTTP, no HTTPS.
- Irregularidades en el sitio web: Esté atento a cualquier incoherencia que pueda indicar que se trata de un sitio falso, como colores que no coinciden, errores ortográficos o fuentes inusuales.
4. ‘Evil Twin’
Los ataques de phishing del «gemelo malvado» utilizan un punto de acceso WiFi falso, disfrazado para que parezca auténtico, que puede interceptar los datos durante la transferencia. Cuando alguien utiliza el punto de acceso, los piratas informáticos recogen sus datos, como las credenciales de inicio de sesión o la información confidencial introducida en un sitio web.
Cómo detectarlo:
- «No seguro»: No confíe en ningún punto de acceso que active una advertencia de «no seguro» en su dispositivo.
- Necesita iniciar sesión: Cualquier punto de acceso que normalmente no requiera que se inicie sesión pero que de repente le pide que lo haga es sospechoso.
5. Watering Hole Phishing (Suplantación de identidad)
El enfoque de watering hole es un sofisticado ataque de phishing que comienza con los estafadores investigando los sitios web que sus empleados visitan a menudo. Luego, infectan la dirección IP con descargas o códigos maliciosos. Cuando un empleado entra en el sitio web, descarga sin saberlo el código infectado.
Cómo detectarlo:
- Alertas del navegador: Si un navegador web dice que un sitio podría no ser seguro, no pase por ese sitio web, incluso si es uno conocido.
- Supervise los cortafuegos: Asegúrese de que las reglas del cortafuegos están actualizadas y supervisadas para evitar el tráfico entrante de un sitio comprometido.
6. Phishing en motores de búsqueda
Este tipo de estafa en línea utiliza los motores de búsqueda para dirigir a los usuarios a sitios que pretenden ofrecer productos o servicios a bajo precio. A continuación, si el usuario intenta comprarlo e introduce los datos de su tarjeta de crédito. El sistema de phishing los capta y los utiliza para vaciar la cuenta bancaria de la víctima.
Cómo detectarlo:
- Ofertas demasiado buenas para ser reales: desconfíe de los productos o servicios anunciados en Internet que son demasiado baratos.
- Sitios web incompletos: Tenga cuidado con los sitios web en los que introduce sus datos. No facilite su información personal/financiera en sitios web a menos que los compruebe a fondo y confíe en ellos.
7. Manipulación de enlaces
El phisher envía al objetivo un enlace engañoso y malicioso de un sitio web de phishing. Si el objetivo cae en la trampa y hace clic en el enlace, será redirigido a una copia de un sitio web auténtico. Puede ver la dirección real pasando el ratón por encima del enlace.
Cómo detectarlo:
- Enlaces sospechosos: No haga clic en los enlaces de los correos electrónicos sospechosos.
- Compruebe la dirección real: Pase el ratón por encima de la URL para revelar el enlace real.
Defienda su negocio con la formación de concienciación sobre seguridad de ATTACK Simulator
La suplantación de identidad ha ido en aumento desde hace un tiempo y se ha vuelto dolorosamente costosa, especialmente para las empresas de todo tipo. La mala noticia es que los especialistas prevén que la situación empeore aún más.
Entonces, ¿qué puede hacer para evitar estos desagradables incidentes? Bueno, los delincuentes no descansan, así que usted tampoco debería hacerlo con sus estrategias. Tenga en cuenta que suelen dirigirse al eslabón más débil de la cadena: sus empleados. Por lo tanto, hay que dar prioridad a la educación sobre las prácticas de ciberseguridad pertinentes para mantener a raya a los estafadores.
Investigar las últimas tendencias y estrategias de phishing y formar adecuadamente a sus empleados puede ser una tarea complicada, así que déjelo en manos de profesionales.
En ATTACK Simulator nos ponemos en la piel del atacante, ya que creemos que entender su forma de pensar y sus acciones es vital para diseñar una simulación precisa.
Estas son algunas de las ventajas de nuestro enfoque en las simulaciones de phishing:
- Simulación automatizada de ataques: simulamos todo tipo de ciberataques.
- Escenarios realistas: evaluamos la vulnerabilidad de los usuarios a la hora de ceder datos empresariales o personales mediante páginas web realistas.
- Análisis del comportamiento de los usuarios: recogemos los datos de los usuarios y los recopilamos en extensos informes para ofrecerle una imagen detallada del nivel de concienciación de seguridad de sus empleados.
- Réplicas de archivos maliciosos: nuestros correos electrónicos contienen repilcas de archivos maliciosos, para que la simulación sea lo más realista posible.
- Lecciones interactivas: si los empleados no reconocen nuestras trampas y caen en una, descubrirán lecciones sobre las mejores prácticas de seguridad.
- Imitación de marcas: nos hacemos pasar por marcas populares para que las simulaciones de phishing sean aún más realistas.
Elige estar seguro y solicite hoy mismo su presupuesto para nuestro completo programa de formación sobre concienciación en materia de seguridad.
Atribución:
Ilustraciones en línea de Storyset
