El phishing es una forma de ataque de ingeniería social, en el que el criminal se hace pasar por una empresa de confianza y pide información sensible a la víctima.
¿Qué es el phishing?
¿Has recibido alguna vez algún correo electrónico, texto u otra forma de comunicación electrónica que parezca proceder de un banco u otro servicio popular de Internet que solicita que “confirmes” las credenciales de tu cuenta, el número de la tarjeta de crédito y otra información sensible? Si es así, ya conoces el aspecto de un ataque de phishing común. Esta técnica se utiliza para obtener información válida del usuario que puede ser vendida o aprovechada por los atacantes para objetivos perversos como extorsión, robo de dinero o de identidad.
Este concepto fue descrito por primera vez en una conferencia en 1987 de Jerry Felix y Chris Hauck llamada “Seguridad del sistema: La perspectiva de un hacker” (1987 Pleitos Interex 1:6). Argumentaba la técnica de un atacante que imitaba una entidad o servicio con una buena reputación. La palabra en sí es un homófono de “pescar” víctimas, puesto que usa la misma técnica de “cebo-presa”. La “ph-” del principio es una referencia a “phreaks”, un grupo de hackers de los sistemas de telecomunicaciones que exploraba ilegalmente sus límites en los 90.
¿Cómo funciona el phishing?
El phishing lleva en funcionamiento muchos años y en todo este tiempo los atacantes han desarrollado un amplio conjunto de métodos para atacar a las víctimas.
La técnica más común de phishing es hacerse pasar por un banco o entidad financiera por correo electrónico para tentar a la víctima a completar un formulario falso en el mensaje o adjunto a él o visitar una página web solicitando la entrada de los detalles de la cuenta o las credenciales de inicio de sesión.
Hace unos años, escribían el nombre del dominio incorrectamente o usaban nombres confusos para este propósito. Hoy en día, los atacantes incorporan métodos más sofisticados haciendo que los enlaces y las páginas falsas se parezcan muchísimo a las legítimas.
La información robada de las víctimas se usa de forma ilegítima para vaciar cuentas bancarias o se vende por Internet.
También se pueden realizar ataques similares mediante llamadas telefónicas (vishing) así como mediante mensajes SMS (smishing).
Spearphishing
Se trata de un método de phishing más avanzado donde mensajes que parecen auténticos llegan a las bandejas de entrada de determinados grupos, empresas o incluso individuos. Los autores de correos de spearphishing realizan antes una investigación detallada de sus posibles víctimas, dificultando que se identifique el contenido como fraudulento.
Los ataques dirigidos a determinados altos cargos de empresas, tales como directivos o CEOs se clasifican como whaling, debido al tamaño de la posible recompensa (los chicos malos persiguiendo al “pez gordo”).
¿Cómo reconocer el phishing?
Un correo electrónico o mensaje puede contener logos oficiales u otros signos de empresas con buena reputación y aun así proceder de ciberdelincuentes. A continuación os damos algunos consejos que pueden ayudar a detectar un mensaje de phishing.
- Saludos genéricos o informales: Si a un mensaje le falta personalización (por ej. “Estimado cliente”) y formalidad, entonces probablemente hay algo equivocado. Lo mismo es aplicable cuando se usan números de referencia falsos y aleatorios.
- Solicitud de información personal: Lo suelen usar frecuentemente los creadores de phishing, y lo evitan los bancos, las instituciones financieras y muchos otros servicios online.
- Gramática pobre: Faltas de ortografía, tipografía y una redacción incorrecta a menudo indican que se trata de un correo falso (pero la ausencia de éstas no es ninguna prueba de legitimidad).
- Correspondencia inesperada: Es muy inusual que un banco o proveedor de servicios por Internet contacte con nosotros y por tanto es muy sospechoso.
- Sensación de urgencia: Los mensajes de phishing a menudo intentan inducir a una acción rápida o tomada con menos consideración.
- ¿Una oferta que no puedes rechazar? Si el mensaje te suena a que es demasiado bueno para ser verdad, tal vez es que sea así.
- Dominio sospechoso: ¿Crees que un banco español te enviaría un correo electrónico desde un domino chino?
¿Cómo protegerte del phishing?
Para evitar un cebo, ten en cuenta los indicadores anteriores con los que se pueden dar a conocer los mensajes de phishing.
Sigue estos sencillos pasos
- Mantente informado de las nuevas técnicas de phishing: Sigue los medios de comunicación por si publican informes de ataque de phishing, puesto que los atacantes podrían inventar nuevas técnicas para engañar a los usuarios en su trampa.
- No facilites tus datos personales: Mantente alerta si un mensaje electrónico procedente de una entidad que parece ser legítima te pide tus credenciales u otros datos sensibles. Si es necesario, comprueba el contenido del mensaje con el remitente o la organización que aparentemente representan (usando detalles de contacto conocidos en vez de los detalles proporcionados en el mensaje).
- Piénsatelo dos veces antes de hacer clic: Si un mensaje sospechoso te proporciona un enlace o un documento adjunto, no pulses ni lo descargues. Hacerlo podría llevarte a una página web maliciosa o infectar tu dispositivo con malware.
- Revisa tus cuentas online con regularidad: Aunque no tengas sospechas de que alguien esté intentando robar tus credenciales, revisa tus cuentas bancarias y otras cuentas en Internet por si hay alguna actividad sospechosa.
- Usa una solución anti-phishing fiable. Aplica todas estas medidas y disfruta de la tecnología de forma más segura.
Ejemplos destacables
El phishing sistemático empezó en la red de America Online (AOL) en 1995. Para robar las credenciales de cuentas legítimas, los atacantes contactaban a las víctimas mediante la Mensajería Instantánea de AOL (AIM), fingiendo en ocasiones ser empleados de AOL que estaban comprobando sus contraseñas de usuarios. El término “phishing” apareció en un grupo de Usenet que se centraba en una herramienta llamada AOHell que automatizaba este método, y el nombre permaneció. Después de que AOL implementara medidas contra ello en 1997, los atacantes se dieron cuenta de que podían usar la misma técnica en otras partes de Internet, y pasaron a fingir que eran instituciones financieras.
Uno de los primeros intentos, aunque fallido, ocurrió en 2001 aprovechándose del caos que generaron los ataques terroristas del 11 de septiembre. Los creadores de phishing enviaron correos electrónicos pidiendo a algunas de las víctimas que comprobaran su identidad, intentando aprovecharse de la información obtenida para robar la información financiera del servicio de moneda digital e-gold.
Pasaron tres años más hasta que el phishing ganó un punto de apoyo firme en Internet y en 2005 ya había costado a los usuarios americanos más de 900 millones de dólares.
Según la encuesta APWG Global Phishing, se observaron más de 250.000 ataques de phishing únicos en 2016, usando el récord de nombres de dominio registrados maliciosamente superior a la barrera de los 95.000. En los últimos años, los creadores de phishing han tendido a centrarse en la banca y en servicios financieros y monetarios, clientes de comercio electrónico y en las credenciales de redes sociales y correo electrónico.
FUENTE: Derechos eset tomado de https://www.eset.com/es/caracteristicas/phishing/
About Author
