Ocho tipos de ataques de phishing que debe conocer

Tipos de estafas de phishing

Los estafadores utilizan técnicas de phishing para engañar a las víctimas. Aprenda a detectar ataques de phishing y mantenerse seguro en línea.

El phishing sigue siendo una de las mayores amenazas de ciberseguridad del mundo.

De hecho, según una investigación de la firma de ciberseguridad Barracuda , el phishing se ha vuelto tan desenfrenado que el número de ataques de phishing relacionados con el coronavirus aumentó en un 667 por ciento de enero a marzo de este año. Lo que es aún más alarmante es que, según un estudio de Intel, hasta el 97 por ciento de las personas no pueden identificar un correo electrónico de phishing.

Te puede interesar: Tendencias de ciberseguridad a tener en cuenta en 2020

Para evitar convertirse en una víctima, debe conocer las diferentes formas en que los phishers pueden intentar atacarlo. Aquí hay ocho tipos diferentes de intentos de phishing que puede encontrar.

1. Phishing por correo electrónico

Este es el típico correo electrónico de phishing diseñado para imitar a una empresa legítima. Es el tipo de ataque menos sofisticado que utiliza el método "rociar y rezar".

No se dirigen a una persona específica y, a menudo, solo envían correos electrónicos genéricos a millones de usuarios con la esperanza de que algunas víctimas desprevenidas hagan clic en el enlace, descarguen el archivo o sigan las instrucciones del correo electrónico.

A menudo no son tan personalizados, por lo que utilizan saludos generales como "Estimado titular de la cuenta" o "Estimado miembro valioso". También suelen utilizar el pánico o el miedo con palabras como "URGENTE" para que los usuarios hagan clic en el enlace.

2. Spear Phishing

Este es un tipo de phishing más sofisticado y avanzado que se dirige a un grupo específico o incluso a personas específicas . A menudo, los piratas informáticos de alto perfil lo utilizan para infiltrarse en organizaciones.

Los estafadores realizan una investigación exhaustiva sobre las personas, sus antecedentes o las personas con las que interactúan habitualmente para poder crear un mensaje más personal. Y porque sus usuarios más personales no suelen sospechar que algo anda mal.

Siempre verifique la dirección de correo electrónico y el formato de la carta con lo que normalmente recibiría de ese contacto. También es mejor llamar al remitente y verificar todo antes de descargar un archivo adjunto o hacer clic en enlaces, incluso si parece que es de alguien que conoces.

3. Whaling

Este es otro tipo de phishing sofisticado y avanzado, solo que este se dirige a un grupo específico de personas: ejecutivos de negocios de alto perfil, como gerentes o directores ejecutivos.

A veces se dirigen al objetivo directamente en el saludo y el mensaje puede ser en forma de una citación, una queja legal o algo que requiera una acción urgente para evitar la bancarrota, el despido o los honorarios legales.

Los atacantes pasarían mucho tiempo investigando exhaustivamente sobre la persona y elaborando un mensaje especializado para dirigirse a personas clave en una organización que normalmente tendrían acceso a fondos o información confidencial.

Al objetivo se le enviarán enlaces a una página de inicio de sesión convincente donde los piratas informáticos recopilarán los códigos de acceso o la información de inicio de sesión. Algunos ciberdelincuentes también pedirían a las víctimas que descarguen un archivo adjunto para supuestamente ver el resto de la citación o carta. Estos archivos adjuntos vienen con malware que puede acceder a la computadora.

4. Vishing

Vishing o phishing de voz es un tipo de phishing, pero en lugar de enviar un correo electrónico, los atacantes intentarán obtener información de inicio de sesión o datos bancarios por teléfono.

Los atacantes se harán pasar por personal de una organización o personal de apoyo de una empresa de servicios y luego jugarán con las emociones para pedir a las víctimas que entreguen los datos bancarios o de la tarjeta de crédito.

El mensaje a veces puede ser sobre una cantidad vencida, como impuestos, ganancias de concursos, o ser de un personal de soporte técnico falso que solicita acceso remoto a una computadora. También pueden usar un mensaje pregrabado y la suplantación de un número de teléfono, haciendo que una llamada al extranjero parezca local. Esto se hace para dar credibilidad al ataque y hacer creer a las víctimas que la llamada es legítima.

Los expertos aconsejan a las personas que nunca proporcionen información confidencial como datos de inicio de sesión, números de seguro social o datos bancarios y de tarjetas de crédito por teléfono. En su lugar, cuelgue y llame a su banco o proveedor de servicios de inmediato.

5. Smishing

Smishing es cualquier forma de phishing que implique el uso de mensajes de texto o SMS. Los phishers intentarán engañarlo para que haga clic en un enlace enviado por texto que lo llevará a un sitio falso. Se le pedirá que ingrese información confidencial como los detalles de su tarjeta de crédito. Luego, los piratas informáticos recopilarán esta información del sitio.

A veces le dirán que ha ganado un premio o que si no escribe su información, se le seguirá cobrando por hora por un servicio en particular. Como regla general, debes evitar responder a mensajes de texto de números que no reconoces. Además, evite hacer clic en los enlaces que recibe de los mensajes de texto, especialmente si no conoce la fuente.

6. Angler Phishing

Esta táctica de phishing relativamente nueva utiliza las redes sociales para atraer a las personas a compartir información confidencial. Los estafadores monitorean a las personas que publican sobre banca y otros servicios en las redes sociales. Luego fingen ser un representante de servicio al cliente de esa empresa.

Digamos que publica una perorata sobre un depósito retrasado o algún mal servicio bancario y la publicación incluye el nombre de su banco. Un ciberdelincuente utilizará esta información para fingir que es del banco y luego se comunicará con usted.

Luego se le pedirá que haga clic en un enlace para que pueda hablar con un representante de servicio al cliente y luego le pedirán información para 'verificar su identidad'.

Cuando recibe un mensaje como este, siempre es mejor ponerse en contacto con el servicio al cliente a través de canales seguros como las páginas oficiales de Twitter o Instagram. Normalmente, estos tendrían un signo de cuenta verificado.

7. Fraude de suplantación de identidad de CEO

Este es casi como la caza de ballenas. Se dirige a los directores ejecutivos y gerentes, pero se vuelve aún más insidioso ya que el objetivo no es solo obtener información del director general, sino hacerse pasar por él o ella. El atacante, haciéndose pasar por el CEO o similar, enviará un correo electrónico a sus colegas solicitando dinero mediante transferencia bancaria o solicitando enviar información confidencial de inmediato.

El ataque normalmente está dirigido a alguien dentro de la empresa que esté autorizado para realizar transferencias bancarias, como los titulares de presupuestos, las personas del departamento de finanzas o aquellos que tienen conocimiento de información confidencial. El mensaje a menudo tiene la intención de sonar muy urgente, por lo que la víctima no tendrá tiempo para pensar.

8. Phishing en buscadores

Este es uno de los tipos más nuevos de ataques de phishing que utiliza motores de búsqueda legítimos. Los phishers crearán un sitio web falso que ofrece ofertas, artículos gratuitos y descuentos en productos, e incluso ofertas de trabajo falsas. Luego utilizarán técnicas de SEO (optimización de motores de búsqueda) para que sus sitios sean indexados por sitios legítimos.

Entonces, cuando busque algo, el motor de búsqueda le mostrará resultados que incluyen estos sitios falsos. Luego, será engañado para que inicie sesión o proporcione información confidencial que luego será recolectada por los ciberdelincuentes.

Algunos de estos phishers se están volviendo expertos en el uso de técnicas avanzadas para manipular los motores de búsqueda para dirigir el tráfico a sus sitios web.

  • Manténgase Informado Y Esté Atento

Conocer los nombres de cada tipo no es tan importante como comprender el funcionamiento, el modo y el canal de cada ataque. No tiene que confundirse con cómo se llaman todos, pero es importante saber cómo se elaboran sus mensajes y qué canales usan los atacantes para llegar a ti.

También es importante estar siempre alerta y saber que hay muchas personas que quieren engañarte para que des tus datos. Comprenda que su empresa puede convertirse en el objetivo de un ataque y los delincuentes están buscando una forma de entrar en su organización.

Saber que existen tales amenazas es el primer paso para evitar que su computadora se convierta en el punto de entrada de un atacante. También es muy importante verificar la fuente del mensaje antes de actuar.

También debe comprender que los atacantes a veces usan el miedo y el pánico de las personas para lograr que los usuarios hagan lo que quieren. Entonces, cuando se enfrenta a una amenaza, es importante calmarse para poder pensar. Y cuando se trata de detectar estafas de promociones y regalos, el viejo adagio todavía se aplica: si algo suena demasiado bueno para ser verdad, probablemente sea mentira.

Publicar un comentario

0 Comentarios