Los cibercriminales no se centran solamente en una o pocas estrategias para lograr sus objetivos, sino que disponen de múltiples tácticas con las que vulnerar la seguridad de sus presas. Una de ellas, y que trataremos hoy, es el método conocido como Phishing. Desde Inprosec te contamos qué es, sus diferentes tipos y cómo evitar Phising.
¿Qué es el Phishing?
Yendo al grano, Phishing es una forma de ciberataque donde el atacante se hace pasar por una organización o contacto fiable para engañar a otros usuarios con el fin de conseguir datos sensibles como información personal, datos empresariales o incluso generar oportunidades para colar software malicioso.
La información más perseguida con esta técnica suele ser contraseñas o datos bancarios.
¿Qué tipos de Phishing existen?
Estamos ante una técnica que ya lleva mucho tiempo entre nosotros, pero que no ha dejado de actualizarse con los años. Los ciberatacantes siempre encuentra nuevas formas de renovarla, afinando sus estrategias comunicativas, visuales e improvisando nuevos canales de comunicación. Con el desarrollo de internet como una la principal vía de comunicación, los Phishing no han dejado de incrementar en creatividad y eficacia.
A continuación, te dejamos con algunas de sus variantes:
Email Phishing
El email phishing, o conocido también como phishing engañoso, es la práctica más común dentro del phishing en general. Usado durante décadas, entre sus hitos se encuentra el robo de cuentas bancarias. Su procedimiento consiste en llegar a la bandeja de entrada de los afectados en forma de correo corporativo, creado de manera que resulte fiable y atractivo a los ojos del usuario copiando colores, banners y fuentes de entidades legales o famosas.
Estos correos contienen links maliciosos que, una vez los afectados pinchan en ellos, son sujetos a robos de datos o a la instalación automática de todo tipo de malware en sus equipos. No suelen estar personalizados, sino que se crean para enviar a un público masivo buscando un pequeño porcentaje que muerdan el cebo.
La mejor forma de detectarlos es fijándose en las direcciones de correo, pues suelen contener caracteres o números que la diferencia de correos corporativos o personales fiables.
Spear Phishing
Es una estrategia que apunta a usuarios que trabajan en negocios particulares o industrias muy concretas (o pequeñas), que no tienen formación para evitar phising, con el objetivo de hacerse con el negocio en sí. En este caso, los correos están mucho más trabajados, usando logos y firmas que imitan o copian a los auténticos, y su redacción es más personalizada y dirigida al usuario que en el caso del Email Phishing tradicional.
Whale Phising
A diferencia del Spear, el Whale Phishing consiste en un ataque de gran envergadura que tiene como objetivo a los dirigentes o “peces gordos” de grandes organizaciones. Antes de ejecutar este tipo de ataques, los hackers hacen una búsqueda intensiva de recopilación de datos de sus objetivos, trazando estrategias muy concienzudas a la hora de elaborar sus correos. Suelen utilizar datos sensibles para generar relaciones con los objetivos, como informes secretos robados o información que no debería saberse fuera de la organización. A mayores, sus correos están bien documentados para que parezcan fiables y de dentro de las organizaciones atacadas.
La idea detrás de estos ataques casi siempre tiene un motivo económico, pidiendo dinero para presupuestos o proyectos. Por fortuna, muy pocos correos de esta clase acaban teniendo éxito.
Pharming
En este tipo de Phishing, los correos sí se envían desde fuentes legítimas u oficiales. Normalmente, se piden tomar acciones urgentes, como corregir información bancaria o cambiar la contraseña de ciertas cuentas.
La forma en la que actúa el fraude está en la redirección, pasando por una web falsa donde los datos quedan almacenados. Puede afectar también al caché de la DNS, enviando a los afectados a una web falsa idéntica a la original donde roban los datos sensibles.
Smishing
A diferencia de los anteriores, el Smishing consiste en la extracción de datos de los usuarios de manera fraudulenta vía SMS en vez de por correo electrónico. Estos llevan a los afectados a páginas falsas, muy parecidas a las originales, donde se piden rellenar datos que quedan almacenados.
Vishing
Consiste en un tipo de estafa, en forma de llamada telefónica, donde se intenta intimar con el receptor para que sea él mismo quién ceda sus datos e información. El nombre surge de combinar las palabras voice y phishing.
Normalmente, la persona que llama se hace pasar por una entidad importante y de confianza solicitando al usuario datos sensibles como su número de DNI, el número de cuenta bancaria o contraseñas de servicios importantes.
Aunque los atacantes suelen mudar de número de teléfono, y esquivar los filtros de SPAM de nuestros móviles, tenemos que ser conscientes de que ninguna entidad pediría nuestros datos más sensibles por teléfono, sino por vías confirmadas como oficiales y seguras.
¿Cómo podemos evitar Phishing?
Estos son los puntos a tener en cuenta a la hora de evitar Phishing:
Repasar cautelosamente los contenidos de los emails
La mayoría de los correos fraudulentos empiezan a desinflarse si nos fijamos en su contenido. Cuando tratan de aferrarse a información sobre el afectado, raramente ofrecen todos los datos, sino pequeñas gotas. Es importante quedarse con eso, pues los correos de fiar siempre utilizarán información completa, sobre todo si esta es sensible.
Tampoco obviar el tema de la gramática y la buena ortografía, si el contenido del correo es lo que esperaríamos de uno correo de este tipo o si nos piden información que nunca nos pedirían (por ejemplo, nuestras contraseñas).
Fijarse en las direcciones de correo y links para evitar Phising
Como ya hemos repetido varias a veces a lo largo de este artículo, el mejor método para evitar phising es fijarse bien en las direcciones de correo, pues es el elemento más difícil de replicar de un correo original.
Seguido a ello, conviene fijarse también en la estructura de los links que contenga el correo, ya que a pesar de parecer idénticas a url reales, siempre tendrán algún carácter o UTM diferente/erróneo que nos puede chivar de que estamos ante un correo fraudulento. Por ejemplo, una buena forma es cerciorándose de que los links tienen protocolo HTTPS en vez de HTTP, pues los primeros Google los marca como sitios web seguros.
Asegura tu identidad
Utilizar una VPN (Virtual Private Network) hace que puedas interactuar dentro de un túnel encriptado que te protege durante tu navegación en la red. Hace que tu identidad y localización no pueda ser leída gracias a la conexión directa con servidores privados. Claro está, esto reduce al mínimo la probabilidad de que puedan espiar tus datos.
Navegar con la VPN activada por rutina es uno de los métodos más fiables para evitar Phishing.
Firma digital en los correos para evitar Phising
Otro método que cada vez tiene más fiabilidad es usar certificados S/MIME, lo que permite reforzar la seguridad de tus correos corporativos.
Esto consiste en el requerimiento de una firma digital para los correos que, de no tenerla, serán devueltos al remitente sin posibilidad de llegar a su objetivo.
De esta manera, S/MIME podrá verificar el origen de los correos y protegerte de la entrada de phishing mediante funciones criptográficas. Es prácticamente imposible replicar la firma criptográfica de estos sistemas, por lo que la seguridad será inexpugnable.
