¿Cuáles son los diferentes tipos de phishing?

Los distintos tipos de ataques de phishing abarcan desde los clásicos esquemas de phishing por email hasta enfoques más ingeniosos como los de spear phishing y smishing. Todos tienen el mismo objetivo: robar su información personal.

¿Cuáles son los diferentes tipos de ataques de phishing?

Los ataques de phishing son ataques de ingeniería social y pueden tener un amplio rango de objetivos dependiendo del atacante. Podrían ser estafas por email genéricas que buscan cualquier persona que tenga una cuenta de PayPal.

El phishing también puede ser un ataque dirigido hacia una persona específica. A menudo, el atacante personaliza un email para hablar directamente con usted e incluye información que solo puede tener un conocido. Un atacante normalmente obtiene esta información tras hacerse con el acceso a sus datos personales. Si el email es de este tipo, es muy difícil evitar caer víctima del mismo, incluso para aquellas personas más precavidas. Una investigación de PhishMe concluyó que el ransomware representa más del 97 % de todos los emails de phishing.

¿Qué es spear phishing?

La pesca con caña podría llevarle a sacar una gran cantidad de animales u objetos que yacen debajo del agua: un lenguado, peces de fondo o cualquier tipo de basura. La pesca con arpón le permite ir a por un tipo concreto de pez. De ahí el nombre.

El spear phishing se dirige a un grupo o tipo de personas específicas como el administrador de sistemas de una empresa. A continuación, podrá encontrar un ejemplo de email de spear phishing. Tenga en cuenta la atención centrada en la industria en la que trabaja el destinatario, el enlace de descarga al que se le pide que acceda a la víctima y a la respuesta inmediata que requiere la solicitud.

¿Qué es el whaling?

El whaling es un tipo de phishing mucho más dirigido, ya que va tras ballenas, animales marinos mucho más grandes que los peces. Estos ataques habitualmente están dirigidos a los CEO, CFO o cualquier otro CXX en la industria o una empresa concreta. Un email de whaling puede informar de que la empresa está enfrentándose a consecuencias legales y que debe hacer clic en el enlace para obtener más información.

El enlace le lleva a una página donde se le pide que introduzca la información importante sobre su empresa como el número de identificación fiscal o de la cuenta bancaria.

¿Qué es el smishing?

El smishing es un ataque que utiliza mensajes texto o servicio de mensajes cortos (SMS) para ejecutarse. Una técnica habitual de smishing es enviar un mensaje a un teléfono móvil mediante SMS y que contiene un enlace para hacer clic o devolver una llamada a un número de teléfono.

Un ejemplo común de un ataque de smishing es aquél en el que se envía un mensaje de SMS que parece proceder de sus institución bancaria. En este se le informa de que su cuenta se ha visto comprometida y de que necesita responder inmediatamente. El atacante le pide que verifique su número de cuenta, el número de la seguridad social, etc. Una vez que el atacante recibe la información, obtiene el control de su cuenta bancaria.

¿Qué es el vishing?

El vishing tiene el mismo objetivo que otros tipos de ataques de phishing. Los atacantes siguen detrás de su información personal o corporativa sensible. Este ataque se lleva a cabo a través de una llamada de voz. Es por eso que la palabra empieza por «v» en vez de por «ph».

Un ataque habitual de vishing incluye una llamada de alguien que dice ser un representante de Microsoft. Esta persona le informa de que han detectado un virus en su ordenador. A continuación, le piden que proporcione la información de su tarjeta de crédito para que el atacante pueda instalar una versión actualizada de un software antivirus en su equipo. Ahora el atacante tiene la información de su tarjeta de crédito y seguramente le hayan instalado un malware en su equipo.

El malware podría contener cualquier cosa, desde un troyano bancario hasta un bot (abreviatura de robot). El troyano bancario vigila su actividad online para robarle más información, a menudo, la de su cuenta bancaria, incluida su contraseña.

Un bot es un software diseñado para realizar cualquier tarea que el hacker desee. Se controla con el comando y control (C&C) para minar bitcoins, enviar spam o lanzar un ataque como parte de un ataque de denegación de servicio distribuido (DDoS).

¿Qué es phishing por email?

El phishing por email es el tipo más utilizado de phishing y se viene utilizando desde 1990. Los hackers envían estos emails a todas las dirección de correo que puedan conseguir. El email generalmente le informa de que su cuenta está comprometida y que necesita responder de inmediato haciendo clic en el enlace proporcionado. Generalmente estos ataques son fáciles de detectar debido a que el lenguaje en el email contiene faltas de ortografía y/o gramaticales.

Algunos emails son difíciles de identificar como ataques de phishing, especialmente cuando el lenguaje y la gramática están más cuidados. Comprobar la fuente del email y el enlace al que le están redirigiendo en busca de lenguaje sospechoso puede darle pistas sobre si el origen es o no legítimo.

Otra estafa de phishing, conocida como sextorsión, tiene lugar cuando un hacker le envía un email que parece que procede de usted mismo. El hacker asegura que tiene acceso a su cuenta de email y su ordenador. Aseguran que tienen sus contraseñas y un vídeo suyo.

Aseguran que usted ha estado viendo vídeos para adultos en su ordenador y que la cámara estaba encendida y grabando. Exigen que les pague, normalmente con bitcoins, o ellos publicarán el vídeo a sus familiares o compañeros.

¿Qué es el phishing en un motor de búsqueda?

El phishing en un motor de búsqueda, también conocido como envenenamiento SEO o troyanos SEO, sucede cuando los hackers trabajan para convertirse en el principal resultado en una búsqueda web mediante motores de búsqueda. Al hacer clic en el enlace que muestran en su motor de búsqueda, se le redirige al sitio web del hacker. A partir de allí, los agentes de amenazas pueden robar su información cuando interactúe con el sitio o introduzca datos sensibles. Los sitios de los hackers pueden parecerse a cualquier tipo de sitio web, pero los principales candidatos son los bancos, sitios de transferencias de dinero, redes sociales o sitios de compra.