¿Sabias que el 90% de los ataques comienzan con un simple Phishing?

Actualizado: 20 may



¿Pero que es el Phishing?

El phishing es el delito de engañar a las personas para ceder información confidencial como contraseñas y números de tarjetas de crédito, pero también se puede tratar sencillamente de engañarte para que instales un programa malicioso en tu ordenador.


Al igual que con la pesca real, hay más de una forma de atraer a una víctima, pero la táctica de phishing es la más común. Las víctimas reciben un correo electrónico malicioso (malspam ) o un mensaje de texto que imita (o “ falsifica ”) a una persona u organización en la que confía, como un compañero de trabajo, un banco o una oficina del gobierno.


El mensaje pide a la víctima vaya a un sitio web con cualquier excusa que el atacante encuentre atractiva. Puede ser ver una factura, comprobar donde está tu pedido de la empresa de transporte o incluso decirte que estas en peligro por cualquier motivo y que si no tomas medidas inmediatas puedes correr graves consecuencias.


Si los usuarios pican y hacen clic en el enlace, se les envían a una imitación de un sitio web legítimo. Desde aquí, se les pide que inicien sesión con sus credenciales de nombre de usuario y contraseña. Si son lo suficientemente crédulos para obedecer, la información de inicio de sesión se envía al atacante, quien la usa para robar identidades, robar cuentas bancarias y vender la información personal en el mercado negro.


Otra modalidad de phishing es utilizar el mismo engaño pero para que te instales un programa que acabara espiando todo lo que haces en tu ordenador y así el atacante conseguirá la misma información de manera aun más peligrosa. Además, ni siquiera sabrás que tu ordenador esta comprometido.


"El phishing es el tipo de ataque cibernético más simple y, al mismo tiempo, el más peligroso y efectivo".

A diferencia de otros tipos de amenazas en línea, el phishing no requiere experiencia técnica especialmente sofisticada. De hecho, según Adam Kujawa, Director de Malwarebytes Labs, “el phishing es el tipo de ataque cibernético más simple y, al mismo tiempo, el más peligroso y efectivo. Esto se debe a que ataca a la computadora más vulnerable y poderosa del planeta: la mente humana. "Los phishers no están tratando de explotar una vulnerabilidad técnica en el sistema operativo de su dispositivo, están usando" ingeniería social " .


Desde Windows y iPhones, a Macs y Android, ningún sistema operativo está completamente seguro contra el phishing, sin importar qué tan fuerte sea su seguridad. De hecho, los atacantes a menudo recurren al phishing porque no pueden encontrar ninguna vulnerabilidad técnica. ¿Por qué perder el tiempo abriéndose paso a través de capas de seguridad cuando puedes engañar a alguien para que te entregue la llave? La mayoría de las veces, el eslabón más débil en un sistema de seguridad no es un problema técnico oculto en el código de una computadora, es un ser humano que no verifica de dónde proviene un correo electrónico.


Origen del nombre


El origen del nombre "phishing" es bastante fácil de rastrear. El proceso de realizar una estafa de phishing es muy parecido a la pesca acuática real. Ensamblas un cebo diseñado para engañar a tu víctima, luego lo arrojas y esperas un bocado. En cuanto al dígrafo "ph" que reemplaza a la "f", podría ser el resultado de una combinación de "pesca" y "falsa", pero algunas fuentes apuntan a otro posible origen.

En la década de 1970, se formó una subcultura en torno a la práctica de utilizar hacks de baja tecnología para explotar el sistema telefónico. Estos primeros piratas informáticos se llamaban "phreaks", una combinación de "teléfono" y "freaks". En un momento en que no había muchas computadoras conectadas en red para hackear, phreaking era una forma común de hacer llamadas de larga distancia gratuitas o alcanzar números no listados.


Cómo identificar un ataque de phishing

Reconocer un intento de phishing no siempre es fácil, pero algunos consejos, un poco de disciplina y algo de sentido común te ayudarán. Busca algo sea sospechoso o fuera de lo común. Pregúntate si el mensaje pasa la "prueba del olfato". Confía en tu intuición, pero no te dejes arrastrar por el miedo. Los ataques de phishing a menudo usan el miedo para nublar tu juicio.


Aquí hay algunos signos más de un intento de phishing:


El correo electrónico hace una oferta que suena demasiado buena para ser verdad. Podría decir que ganaste la lotería, un premio caro o algún otro artículo exagerado.


  • Reconoces al remitente, pero es alguien con quien no hablas. Incluso si conoces el nombre del remitente, desconfía si se trata de alguien con quien normalmente no te comunicas, especialmente si el contenido del correo electrónico no tiene nada que ver con tus responsabilidades laborales normales.

  • El mensaje suena aterrador. Ten cuidado si el correo electrónico tiene un lenguaje cargado o alarmista para crear un sentido de urgencia, exhortándote a hacer clic y "actuar ahora" antes de que se cancele tu cuenta. Recuerda, las organizaciones responsables nunca solicitan datos personales a través de Internet.

  • El mensaje contiene archivos adjuntos inesperados o inusuales. Estos archivos adjuntos pueden contener malware, ransomware u otra amenaza en línea.

  • El mensaje contiene enlaces incrustados (los que están ocultos y solo se ven al pasar el ratón por encima de ellos). Incluso si tu sentido de la araña no está hormigueando por ninguno de los anteriores, no hagas clic en ningún hipervínculo incrustado. En su lugar, desplaza el ratón sobre el enlace para ver la URL real. Estate especialmente atento a las faltas de ortografía sutiles en un sitio web que por lo demás tiene un aspecto familiar, porque indica falsedad. Siempre es mejor escribir directamente la URL en lugar de hacer clic en el enlace incrustado.

Este es un ejemplo de un intento de phishing que falsifica un aviso de PayPal y le pide al destinatario que haga clic en el botón "Confirmar ahora". Al pasar el ratón sobre el botón, se muestra el verdadero destino de la URL en el rectángulo rojo.


Aquí hay otra imagen de ataque de phishing, esta vez que dice ser de Amazon. Tenga en cuenta la amenaza de cerrar la cuenta si no hay respuesta dentro de las 48 horas.


Al hacer clic en el enlace, se accede a este formulario, invitándolo a revelar lo que el phisher necesita para saquear sus objetos de valor:


¿Cómo me protejo contra el phishing?


La mayoría de los navegadores de Internet tienen formas de verificar si un enlace es seguro, pero tu primera línea de defensa contra el phishing es tu criterio. Prepárate para reconocer los signos de phishing y trata de practicar la informática segura cada vez que revisas tu correo electrónico, lees las publicaciones de Facebook o juegas a tu juego en línea favorito.


Aquí están algunas de las prácticas más importantes para mantenerte seguro:


  • No abras correos electrónicos de remitentes con los que no estés familiarizado.

  • Nunca hagas clic en un enlace dentro de un correo electrónico a menos que sepas exactamente a dónde va.

  • Para obtener esa protección, si recibes un correo electrónico de una fuente de la que no estás seguro, navega al enlace proporcionado manualmente introduciendo la dirección legítima del sitio web en tu navegador.

  • Busca el certificado digital de un sitio web.

  • Si se te solicita que proporciones información confidencial, verifica que la URL de la página comience con "HTTPS" en lugar de solo "HTTP". La "S" significa "seguro". No es una garantía de que un sitio sea legítimo, pero la mayoría Los sitios legítimos usan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables a los hackers.

  • Si sospechas que un correo electrónico no es legítimo, toma un nombre o un texto del mensaje y ponlo en un motor de búsqueda para ver si existen ataques de phishing conocidos con los mismos métodos.

  • Pasa el mouse sobre el enlace para ver si es un enlace legítimo.

  • Como siempre, recomendamos utilizar algún tipo de software de seguridad antimalware. La mayoría de las herramientas de ciberseguridad tienen la capacidad de detectar cuándo un enlace o un archivo adjunto no es lo que parece, por lo que incluso si te enamoras de un intento inteligente de phishing, no terminarás compartiendo tu información con las personas equivocadas.


Todos los productos de seguridad premium Malwarebytes ofrecen una protección robusta contra el phishing. Pueden detectar sitios fraudulentos y evitar que los abras, incluso si estás convencido de que son legítimos.


El servicio que te ofrecemos en Irongate te lo damos con los productos premium de las soluciones corporativas más potentes del mercado por lo que estarás protegido incluso en el caso de que caigas en el engaño.



El servicio que te ofrecemos en Irongate te lo damos con los productos premium de Malwarebytes por lo que estarás protegido incluso en el caso de que caigas en el engaño.

¿Cómo afecta el phishing a mi negocio?


El hecho es que los cibercriminales se dirigen a su negocio. Como se informó en el Informe de Tácticas y Técnicas contra el Ciberdelito de Malwarebytes Labs (CTNT), los ataques a empresas aumentaron un 55 por ciento en la segunda mitad de 2018, con troyanos y ransomware que demostraron ser los tipos más populares de ataques. Específicamente, los ataques de troyanos en las empresas aumentaron un 84 por ciento, mientras que los ataques de ransomware aumentaron un 88 por ciento. El phishing a menudo juega un papel importante en los ataques de troyanos y ransomware, ya que los delincuentes cibernéticos dependen de los correos electrónicos de phishing para que las víctimas descarguen el malware e inicien el ataque.

El Trojan bancario Emotet , por ejemplo, que causó estragos en todo 2018 incluye un módulo de correo no deseado que escanea las listas de contactos en una computadora infectada y envía correos electrónicos de phishing a amigos, familiares y compañeros de trabajo que se vinculan a un archivo adjunto o descarga de malware. En un giro interesante, Emotet, que antes era un troyano bancario por derecho propio, ahora se está utilizando para entregar otro malware, incluido el ransomware.

¿Qué sucede una vez que un malware como Emotet se afianza en su red a través de un ataque de phishing? Simplemente pregunte a los asediados funcionarios de la ciudad de Allentown. El ataque al 2018 en la ciudad de Pennsylvania requirió la ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiar y, según se informa, le costó a la ciudad más de un millón de dólares para solucionarlo.



¿Quieres ver que tan bueno eres cazando ataques phishing?


Google publicó un test para poner a prueba la capacidad de los usuarios de reconocer correos maliciosos que buscan engañarlos para robar información personal y financiera.



Atrévete a probarlo. Es un simulador y no puede hacerte ningún daño: https://phishingquiz.withgoogle.com/


Para finalizar, mantente vigilante, toma precauciones y cuida de cualquier cosa phishy. (que huele mal)

 

Some extracts from malware blog about phishing

https://www.malwarebytes.com/phishing/

by Ricky Fuster https://www.linkedin.com/in/rickyfuster/

Irongate CISO https://www.irongate.es/



153 visualizaciones0 comentarios