Los ciberdelincuentes emplean correos electrónicos de phishing porque es barato, fácil y efectivo. Las direcciones de email son fáciles de obtener y los correos electrónicos que se envían son gratuitos en la mayoría de los casos.
Sin apenas esfuerzo y a bajo coste, los atacantes pueden acceder rápidamente a datos personales valiosos. Todo aquel que cae en las estafas de phishing puede terminar con su equipo infectado con virus malware, robo de identidad y pérdida de datos.
Los datos que persiguen los ciberdelincuentes incluyen información de identificación personal, como datos de cuentas bancarias, números de tarjetas de crédito, así como datos comerciales confidenciales, como nombres de clientes e información de contacto, etc.
¿Qué es el phishing?
El phishing es un ataque cibernético que emplea el correo electrónico disfrazado como arma. El objetivo es engañar al destinatario del correo electrónico para que piense que el mensaje recibido es algo que necesita y le inste a hacer clic en un enlace o descargar un archivo adjunto.
Lo que distingue al phishing es la forma que adopta el mensaje; los atacantes se hacen pasar por una entidad de confianza de algún tipo, normalmente una persona real o aparentemente real, o una empresa con la que el objetivo o víctima podría hacer negocios.
Un ataque puede tener resultados fatales. Para las personas, hablamos de compras no autorizadas, robo de fondos o robo de su identidad entre otros.
En ocasiones el phishing se usa para consolidarse en las redes corporativas o gubernamentales como parte de un ataque mayor, como un evento de amenaza persistente avanzada.
Mecanismos principales empleados en el phishing
Los atacantes falsifican su dirección de correo electrónico para simular que proviene de otra persona, desarrollan sitios web falsos que se parecen a los sitios de confianza de la víctima y emplean conjuntos de caracteres extranjeros para disfrazar las URL .
Los ciberdelincuentes emplean tres mecanismos principales en los correos electrónicos de phishing para robar información: enlaces web maliciosos, archivos adjuntos maliciosos y formularios de entrada de datos fraudulentos.
Estafas por correo electrónico
El phishing por correo electrónico es un juego numérico. Un atacante que envía miles de mensajes fraudulentos puede obtener información muy valiosa y sumas importantes de dinero, aunque solo un pequeño porcentaje de los destinatarios cayera en la estafa.
Diseñarán mensajes de phishing para imitar correos electrónicos reales de una organización falsa. El empleo de las mismas frases, tipografías, logotipos y firmas hace que los mensajes parezcan totalmente legítimos.
Los correos electrónicos de phishing se dirigen a correos electrónicos de millones de víctimas potenciales para tratar de engañarlas para que inicien sesión en sitios web muy populares aparentemente reales pero que en realidad son versiones falsas en ocasiones casi imperceptibles.
El Phishing ataca al usuario con el envío masivo de correos electrónicos, a modo de spam, falsificando al emisor que los envía.
Suplantación de identidad
Se denomina phishing selectivo cuando los atacantes intentan redactar un mensaje para atraer a un individuo específico. Los phishers identifican sus objetivos (a veces usando información en sitios como LinkedIn) y usan direcciones falsificadas para enviar correos electrónicos los cuales podría parecer que provienen de compañeros de trabajo.
Tipos de ataques de phishing
El phishing se ha convertido en algo más que un simple robo de credenciales y datos. La forma en que un atacante presenta una campaña depende del tipo de phishing, entre los que se incluyen:
- Malware: los usuarios son engañados para que hagan clic en un enlace o abran un archivo adjunto y, sin querer, descarguen malware en sus dispositivos.
- Manipulación de enlaces: los mensajes contienen un enlace a un sitio malicioso que se parece al oficial.
- Fraude del CEO: estos mensajes se envían principalmente a empresas financieras para hacerles creer que el CEO u otro ejecutivo les está pidiendo que transfieran dinero.
- Inyección de contenido: un atacante que puede introducir contenido malicioso en un sitio oficial engañará a los usuarios para que accedan al sitio para mostrarles una ventana emergente maliciosa o redirigirlos a un sitio web de phishing.
- Spear phishing: estos mensajes de correo electrónico se envían a personas específicas dentro de una organización.
- Smishing: a través de mensajes SMS, los atacantes engañan a los usuarios para que accedan a sitios maliciosos desde sus smartphones.
- Vishing: los atacantes usan un software de cambio de voz para dejar un mensaje que les dice a las víctimas que deben llamar a un número donde pueden ser estafadas.
- Wi-Fi “Evil Twin”: falsificando Wi-Fi e indicando que es gratuito, los atacantes engañan a los usuarios para que se conecten a un punto de acceso malicioso.
Cómo prevenir el phishing
La protección contra el phishing es una medida de seguridad que las empresas deben tomar para evitar ataques de phishing contra su organización.
Hay una serie de pasos que pueden tomar para evitar que se conviertan en una estadística de phishing más:
- Verificar la ortografía de las URL en los enlaces de correo electrónico antes de hacer clic o facilitar información confidencial.
- Vigilar los redireccionamientos de URL, donde de forma sutil te envían a un sitio web diferente con un diseño prácticamente idéntico.
- Si recibes un correo electrónico de una fuente que conoces pero que te puede parecer sospechosa, comunícate con esa fuente con un nuevo email, en lugar de simplemente hacer clic en el botón de responder.
- Evita publicar datos personales, como tu fecha de nacimiento, tu dirección o número de teléfono, públicamente en las redes sociales.
Qué puedes hacer si has sido víctima
Desgraciadamente, una vez que hayas enviado tu información personal a un atacante, es probable que se extienda a otros estafadores. Probablemente recibirás mensajes vishing y smishing, nuevos correos electrónicos de phishing y llamadas de voz. Mantente siempre alerta a los mensajes sospechosos que solicitan tu información o datos financieros.
Si has hecho clic en un enlace o abriste un archivo adjunto sospechoso, tu dispositivo podría tener malware instalado. Para detectar y eliminar el malware, asegúrate de que tu antivirus tenga instaladas las últimas actualizaciones para que responda mejor.
Si por desgracia, tienes serias sospechas de suplantación de identidad lo mejor es que acudas a las fuerzas de seguridad del estado como Guardia Civil y denuncies el caso de inmediato.