Los tipos de ataques de phishing van desde las estafas clásicas por correo hasta enfoques más creativos como el spear phishing y el smishing. Todos tienen el mismo objetivo – robar sus datos personales.
Los ataques de phishing son ataques de ingeniería social, y pueden tener un gran rango de blancos dependiendo del atacante. Podrían ser emails genéricos de estafa buscando a cualquiera que tenga una cuenta de PayPal.
El phishing también puede ser un ataque dirigido enfocado en un individuo en específico. El atacante a menudo modifica un correo para hablarle directamente a usted, e incluye información que sólo un conocido podría saber. Un atacante usualmente obtiene esta información después de obtener acceso a sus datos personales. Si el correo es de este tipo, es muy difícil que incluso el individuo más cuidadoso no se convierta en una víctima. PhishMe Research determinó que el ransomware representa 97% de todos los correos de phishing.
Pescar con una caña puede traerle varios objetos debajo del agua – un pescado, un animal, o un pedazo de basura. Pescar con una lanza le permite elegir el pez que desea. De ahí el nombre.
El spear phishing se dirige hacia un grupo o tipo específico de individuos, como el administrador de los sistemas de una empresa. Abajo se encuentra un ejemplo de un email de spear phishing. Note el cuidado con el que se habla de la industria en la que trabaja la víctima, el link que se le pide seguir y la respuesta inmediata que se requiere.
El whaling es un tipo aún más especializado de phishing, ya que va detrás de las “ballenas” – un animal mucho más grande que un pez. Estos ataques típicamente se dirigen hacia CEOs, CFOs, o cualquier CXX en una industria o una empresa específica. Un correo de whaling podría decir que la empresa está enfrentando problemas legales y que se necesita hacer click en un link para obtener más información.
El link le lleva a una página donde se le solicita ingresar datos críticos acerca de la empresa, como la clave para declarar impuestos y números de cuentas bancarias.
El smishing es un ataque que usa mensajes de texto o SMS (short message service) para ejecutar el ataque. Una técnica común de smishing es mandar un mensaje de SMS que contenga un link o un número al que hay que llamar.
Un ejemplo común de un ataque de smishing es un SMS que parece haber venido de su banco. Dice que su cuenta ha sido comprometida y que necesita responder inmediatamente. El atacante le pide verificar su número de cuenta, número de seguridad social, etc. Una vez que el atacante recibe la información, ahora tiene el control de su cuenta bancaria.
El vishing tiene el mismo propósito que otros tipos de ataques de phishing. Los atacantes buscan su información personal o información corporativa sensible. El ataque se logra por medio de una llamada de voz. Por eso la “v” en lugar de “ph” en el nombre.
Un ataque común de vishing incluye una llamada de alguien diciendo ser un representante de Microsoft. Esta persona le informa que ha detectado un virus en su computadora. Entonces se le pide dar datos de su tarjeta de crédito para que el atacante pueda instalar una actualización de un antivirus en su computadora. Ahora el atacante tiene su información bancaria y usted posiblemente ha instalado malware en su computadora.
El malware podría contener lo que sea, desde un Troyano bancario hasta un bot (versión corta de robot). El Troyano bancario espía su actividad en línea para robar más información – a menudo su información bancaria, incluyendo su contraseña.
Un bot es un software diseñado para hacer la tarea que el hacker le programe para hacer. Está controlado por comando y control (C&C) para minar bitcoins, mandar spam o lanzar un ataque como parte de un ataque de denegación de servicio (DDoS).
El phishing por correo es el tipo más común de phishing, y ha estado activo desde los 90s. Los hackers mandan estos correos a cualquier dirección que puedan obtener. El hacker usualmente le informa que se ha comprometido su cuenta y que necesita responder inmediatamente haciendo click en un link. Estos ataques usualmente son fáciles de detectar porque el lenguaje en el correo usualmente contiene errors de ortografía y/o gramática.
Algunos emails son difíciles de reconocer como ataques de phishing, especialmente cuando el lenguaje y la gramática están mejor desarrollados. Revisar la fuente del correo y el link hacia donde se le dirige para encontrar lenguaje sospechoso puede dar una pista acerca de la fiabilidad de la fuente.
Otra estafa de phishing, a la cual se le refiere como sextorsión, ocurre cuando un hacker le manda un correo que parece venir de usted mismo. El hacker dice tener acceso a su cuenta de correo y su computadora. Dicen tener su contraseña y video de usted.
Los hackers dicen que ha estado viendo videos adultos desde su computadora, mientras la cámara estaba encendida y grabando. Le demandan que pague, usualmente en Bitcoin, de lo contrario mandarán el video a su familia y/o colegas.
El phishing por motores de búsqueda, también conocido como “SEO poisoning” o “Troyanos de SEO”, es donde los hackers se convierten en el primer resultado en una búsqueda usando un motor de búsqueda. Hacer click en el link que se encuentra en el motor de búsqueda le dirige hacia el sitio web del hacker. Ahí, los actores maliciosos pueden robar su información cuando interactúa con el sitio y/o ingresa datos sensibles. Los hackers pueden hacerse pasar por cualquier sitio web, pero los candidatos principales son bancos, transferencias, redes sociales y sitios de compras en línea.
Artículos Relacionados
Investigaciones Relacionadas