Qué es el phishing y cómo puede robarle dinero y secretos
Consejos De La Tecnología / / December 28, 2020
¿Qué es el phishing y qué tan peligroso es?
El phishing es un tipo común de fraude cibernético dirigido a comprometer la cuenta registros e interceptación de control sobre los mismos, robo de datos de tarjetas de crédito o cualquier otra información confidencial información.
La mayoría de las veces, los atacantes utilizan el correo electrónico: por ejemplo, envían cartas en nombre de una empresa conocida, atrayendo a los usuarios a su sitio web falso con el pretexto de una promoción rentable. La víctima no reconoce la falsificación, ingresa el nombre de usuario y la contraseña de su cuenta y, por lo tanto, el propio usuario transfiere los datos a los estafadores.
Cualquiera puede sufrir. Los correos electrónicos de phishing automatizados suelen estar dirigidos a una amplia audiencia (cientos de miles o incluso millones de direcciones), pero también hay ataques dirigidos a un objetivo específico. La mayoría de las veces, estos objetivos son los altos directivos u otros empleados que tienen acceso privilegiado a los datos corporativos. Esta estrategia personalizada de phishing se llama vailing (ing. caza de ballenas), que se traduce como "captura de ballenas".
Las consecuencias de los ataques de phishing pueden ser devastadoras. Los estafadores pueden leer su correspondencia personal, enviar mensajes de phishing a su círculo de contactos, retirar dinero de cuentas bancarias y, en general, actuar en su nombre en un sentido amplio. Si tiene un negocio, el riesgo es aún mayor. Los phishers son capaces de robar secretos corporativos, destruir archivos confidenciales o filtrar los datos de sus clientes, dañando la reputación de la empresa.
Según el informeInforme de tendencias de actividad de phishing Anti-Phishing Working Group, solo en el último trimestre de 2019, los expertos en ciberseguridad descubrieron más de 162 mil sitios fraudulentos y 132 mil campañas de correo electrónico. Durante este tiempo, cerca de mil empresas de todo el mundo se han convertido en víctimas del phishing. Queda por ver cuántos ataques no se detectaron.
Ivan Budylin
Arquitecto del Centro Tecnológico de Microsoft en Rusia.
Es importante ser claro sobre sí mismo y comunicar algunas cosas a sus compañeros de trabajo, amigos y familiares. Primero, la industria está en contra nuestra. Los ciberdelincuentes ya no son bromistas entusiastas, son profesionales experimentados que, de una forma u otra, quieren hacer dinero contigo. En segundo lugar, cualquier información tiene valor, incluso si no parece importante. Y tu actividad en las redes sociales, y el nombre de tu gatito favorito, todo se puede usar para monetización directa o como etapa de ataque para obtener acceso a más "costosos" datos. En tercer lugar, el uso de la autenticación multifactor y los inicios de sesión sin contraseña está pasando gradualmente de la categoría de recomendaciones sólidas a la categoría de requisitos estrictos de una realidad cambiada.
Evolución y tipos de phishing
El término "phishing" proviene de la palabra inglesa "fishing". Este tipo de estafa realmente se parece a la pesca: el atacante lanza el cebo en forma de un mensaje o enlace falso y espera a que los usuarios muerdan.
Pero en inglés, "phishing" se escribe de manera un poco diferente: phishing. Se utiliza el dígrafo ph en lugar de la letra f. Según una versión, esta es una referencia a la palabra farsante ("engañador", "estafador"). Por otro lado, a la subcultura de los primeros piratas informáticos que fueron llamados phreakers ("phreakers").
Se cree que el término phishing se utilizó por primera vez públicamente a mediados de la década de 1990 en los grupos de noticias de Usenet. En ese momento, los estafadores lanzaron los primeros ataques de phishing dirigidos a clientes del proveedor estadounidense de Internet AOL. Los atacantes enviaron mensajes pidiendo confirmar sus credenciales, haciéndose pasar por empleados de la empresa.
Con el desarrollo de Internet, han aparecido nuevos tipos de ataques de phishing. Los estafadores comenzaron a falsificar sitios web completos y dominaron varios canales y servicios de comunicación. Estos tipos de phishing se pueden distinguir hoy.
- Phishing por correo electrónico. Los estafadores registran una dirección postal similar a la dirección de una empresa conocida o un conocido de la víctima seleccionada y envían cartas desde ella. Al mismo tiempo, por el nombre del remitente, el diseño y el contenido, una carta falsa puede ser casi idéntica a la original. Solo dentro hay un enlace a un sitio falso, archivos adjuntos infectados o una solicitud directa para enviar datos confidenciales.
- Phishing por SMS (smishing). Este esquema es similar al anterior, pero se usa SMS en lugar del correo electrónico. El suscriptor recibe un mensaje de un número desconocido (generalmente corto) con una solicitud de datos confidenciales o con un enlace a un sitio falso. Por ejemplo, un atacante puede presentarse como un banco y solicitar el código de verificación que recibió anteriormente. De hecho, los estafadores necesitan el código para hackear su cuenta bancaria.
- Phishing en redes sociales. Con la proliferación de mensajería instantánea y redes sociales, los ataques de phishing también han inundado estos canales. Los atacantes pueden contactarlo a través de cuentas falsas o comprometidas de organizaciones conocidas o sus amigos. El resto del principio de ataque no difiere de los anteriores.
- Phishing telefónico (vishing). Los estafadores no se limitan a los mensajes de texto y pueden llamarlo. La mayoría de las veces, la telefonía por Internet (VoIP) se utiliza para este propósito. La persona que llama puede hacerse pasar, por ejemplo, a un empleado del servicio de soporte de su sistema de pago y solicitar datos para acceder a la billetera, supuestamente para verificación.
- Buscar phishing. Puede encontrar phishing directamente en los resultados de búsqueda. Basta con hacer clic en el enlace que conduce a un sitio falso y dejar datos personales en él.
- Phishing emergente. Los atacantes suelen utilizar ventanas emergentes. Al visitar un recurso dudoso, es posible que vea un banner que promete algún beneficio, por ejemplo, descuentos o productos gratuitos, en nombre de una empresa conocida. Al hacer clic en este enlace, se lo dirigirá a un sitio controlado por atacantes.
- Agricultura. No está directamente relacionado con el phishing, pero la agricultura también es un ataque muy común. En este caso, el atacante falsifica los datos de DNS, redirigiendo automáticamente al usuario en lugar de a los sitios originales a los falsos. La víctima no ve ningún mensaje o pancarta sospechosos, lo que aumenta la efectividad del ataque.
El phishing sigue evolucionando. Microsoft habló sobre las nuevas técnicas que su servicio anti-phishing de Office 365 Advanced Threat Protection descubrió en 2019. Por ejemplo, los estafadores han aprendido a disfrazar mejor el contenido malicioso en los resultados de búsqueda: mostrar enlaces legítimos que llevan al usuario a sitios de phishing utilizando múltiples redireccionamientos.
Además, los ciberdelincuentes comenzaron a generar automáticamente enlaces de phishing y copias exactas de cartas a un nivel cualitativamente nuevo, lo que le permite engañar a los usuarios de forma más eficaz y evitar fondos proteccion.
Conozca Office 365
Cómo protegerse del phishing
Mejore su conocimiento técnico. Como dice el refrán, el que está prevenido está armado. Estudie la seguridad de la información por su cuenta o consulte a expertos para obtener asesoramiento. Incluso un simple conocimiento de los conceptos básicos de la higiene digital puede ahorrarle muchos problemas.
Ten cuidado. No siga los enlaces ni abra archivos adjuntos en cartas de interlocutores desconocidos. Verifique cuidadosamente los datos de contacto de los remitentes y las direcciones de los sitios que visita. No responda a las solicitudes de información personal, incluso cuando el mensaje parezca creíble. Si un representante de la empresa solicita información, es mejor llamar a su centro de llamadas e informar de la situación. No haga clic en las ventanas emergentes.
Utilice las contraseñas con prudencia. Utilice una contraseña única y segura para cada cuenta. Suscríbase a servicios que advierten a los usuarios si las contraseñas de sus cuentas aparecen en la Web y cambie inmediatamente el código de acceso si resulta que está comprometido.
Configure la autenticación multifactor. Esta función también protege la cuenta, por ejemplo, utilizando contraseñas de un solo uso. En este caso, cada vez que inicie sesión en su cuenta desde un nuevo dispositivo, además de la contraseña, deberá ingrese un código de cuatro o seis caracteres enviado por SMS o generado en un solicitud. Puede que no parezca muy conveniente, pero este enfoque lo protegerá del 99% de los ataques comunes. Después de todo, si los estafadores roban la contraseña, aún no podrán ingresar sin un código de verificación.
Utilice las funciones de inicio de sesión sin contraseña. En esos servicios, siempre que sea posible, debe abandonar por completo el uso de contraseñas, reemplazándolas con claves de seguridad de hardware o autenticación a través de una aplicación en un teléfono inteligente.
Utilice software antivirus. Un antivirus actualizado oportunamente ayudará a proteger su computadora del malware que redirige a sitios de phishing o roba inicios de sesión y contraseñas. Pero recuerde que su principal protección sigue siendo el cumplimiento de las reglas de higiene digital y el cumplimiento de las recomendaciones de ciberseguridad.
Si tienes un negocio
Los siguientes consejos también serán útiles para los dueños de negocios y ejecutivos de empresas.
Capacite a sus empleados. Explique a los subordinados qué mensajes evitar y qué información no se debe enviar por correo electrónico y otros canales de comunicación. Prohibir que los empleados utilicen el correo corporativo para fines personales. Enséñeles cómo trabajar con contraseñas. También vale la pena considerar una política de retención de mensajes: por ejemplo, por motivos de seguridad, puede eliminar mensajes con una antigüedad superior a un período determinado.
Realiza ataques de phishing educativos. Si desea probar la reacción de sus empleados al phishing, intente simular un ataque. Por ejemplo, registre una dirección de correo similar a la suya y envíe cartas a sus subordinados con una solicitud para proporcionarle datos confidenciales.
Elija un servicio postal confiable. Los proveedores de correo electrónico gratuitos son demasiado vulnerables a las comunicaciones comerciales. Las empresas deben elegir solo servicios corporativos seguros. Por ejemplo, los usuarios del servicio de correo Microsoft Exchange incluido en el paquete Office 365 tienen una protección integral contra el phishing y otras amenazas. Para contrarrestar a los estafadores, Microsoft analiza cientos de miles de millones de correos electrónicos cada mes.
Contrata a un experto en ciberseguridad. Si su presupuesto lo permite, busque un profesional calificado que le brinde protección continua contra el phishing y otras amenazas cibernéticas.
Qué hacer si eres víctima de phishing
Si hay motivos para creer que sus datos han caído en manos equivocadas, actúe de inmediato. Revise sus dispositivos en busca de virus y cambie las contraseñas de las cuentas. Informe al personal del banco que es posible que le hayan robado sus datos de pago. Si es necesario, informe a los clientes de la posible fuga.
Para evitar que tales situaciones se repitan, elija servicios de colaboración confiables y modernos. Los productos con mecanismos de protección incorporados son los más adecuados: funcionará de la manera más conveniente posible y no tendrá que arriesgar la seguridad digital.
Además, el servicio proporciona un control de acceso dinámico con evaluación de riesgos y teniendo en cuenta una amplia gama de condiciones. Office 365 también contiene automatización y análisis de datos integrados, y también le permite controlar dispositivos y proteger la información de fugas.
Prueba Microsoft Office 365