¿Qué es el phising?
Todo lo que debes saber del phising
26.10.2022 - Ishba Gómez Inal, Pablo Blas
2 votos
0 comentarios
Definición:
Podemos definirlo como un tipo de fraude en las telecomunicaciones que emplea trucos de ingeniería social para obtener datos privados de sus víctimas, es decir, práctica fraudulenta que consiste en enviar correos electrónicos que afirman proceder de empresas respetables con la intención de conseguir que el destinatario revele información personal, como contraseñas o números de tarjetas de crédito.
Persuade a la víctima para que revele voluntariamente información sensible y que depende de una narrativa o imagen específica para presentarse como legítimo.
Tipos:
- Por correo electrónico: los mensajes de correo electrónico son el método más común. Estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados con malware.
- Por sitio web: Conocidos como sitios falsificados, son copias falsas de sitios web que conoce y en los que confía. Los hackers crean estos sitios para engañarlo de modo que introduzca sus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a sus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.
- Vishing: Abreviatura de «voice phishing» (phishing de voz) hace referencia a la versión sonora del phishing de Internet. El atacante intenta convencer por teléfono a las víctimas para que revelen información personal que pueda utilizarse más adelante para un robo de identidad. Muchas robollamadas son intentos de vishing.
- Smishing: Es phishing mediante SMS. Recibe un mensaje de texto donde se le pide que haga clic en un enlace o descargue una aplicación. Sin embargo, al hacerlo se le engaña para que descargue en su teléfono un malware que puede captar su información personal y enviarla al atacante.
- Por redes sociales: Algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a sus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
Estrategias habituales:
-
Phishing de engaño: Es un término que se refiere específicamente al intento de los hackers por hacerse pasar por empresas o personas legítimas con el fin de obtener su confianza.
-
Whaling: («pesca de ballenas»), consiste en ataques de phishing dirigido contra una persona concreta de alto valor.
-
Fraude de CEO: Los phishers se hacen pasar por el director ejecutivo (CEO) o por cualquier otro alto cargo de una empresa con el fin de obtener un pago o información sobre los empleados. Son habituales tras un ataque de whaling.
-
Pharming: (combinación de «phishing» y «farming», «cultivo»), los ataques utilizan trucos tecnológicos para engañarlo, en sustitución del cebo habitual. Si no presta atención, no notará el engaño hasta que sea demasiado tarde.
-
Phishing de clonación: Los atacantes toman un correo electrónico legítimo, lo «clonan» y envían una copia exacta a todos los destinatarios previos, con un cambio fundamental: ahora los enlaces son maliciosos.
-
Manipulación de enlaces: Los ''phishers'' envían enlaces que parecen conducir a una dirección URL, pero al hacer clic en ellos lo llevan a otra parte. Entre los trucos habituales están los errores ortográficos deliberados (p. ej., «luna» y «Iuna» parecen iguales, pero el segundo emplea una i mayúscula) o el uso del nombre de un sitio web de confianza como texto visible de un enlace. Estos ataques también se conocen como homógrafos.
-
Scripting entre sitios: phishers sofisticados pueden aprovechar debilidades en los scripts de un sitio web para secuestrarlo y emplearlo con distintos fines. Es difícil de detectar porque en el sitio web todo parece legítimo.
Casos reales:
En 2017, un grupo de hackers envió emails de phishing a los empleados de las tres cadenas de restaurantes más grandes de Estados Unidos, Chipotle, Arby´s y Chili´s. Los emails incluían software malicioso adjunto, que se instaló silenciosamente en los ordenadores objetivo y dio a los hackers acceso a las redes internas de estas empresas. Con el uso de este software, los hackers consiguieron robar más de 15 millones de registros de tarjetas de crédito pertenecientes a los clientes de esas tres cadenas.
Director de la FAAC, una compañía de partes de aviones, Waltar Staphan, fue víctima de un ataque de phishing por correo electrónico, lo que resultó en su despido. Recibió un mensaje que decía que una persona de alto rango en la empresa necesitaba una transferencia bancaria confidencial por un valor de $56,8 millones. Staphan hizo la solicitud y fue solo después de que se completó la transacción que se identificó el delito. Solo se recuperó 1/5 del monto total del depósito. El resto del dinero desapareció en cuentas en Eslovaquia y Asia.
FACEBOOK y GOOGLE: Ambos fueron estafados por más de 100 MM USD entre el año 2013 y 2015 a través de una elaborada estafa de facturas fraudulentas. Un cibercriminal de Lituania enviaba facturas falsas a ambas compañías haciéndose pasar por un proveedor asiático.
Señales que lo identifican:
- Reconoce al remitente, pero es alguien con quién no trata y el contenido del correo electrónico no tiene nada que ver con sus responsabilidades laborales habituales. Lo mismo ocurre si aparece en copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un grupo de colegas de departamentos con los que no tiene relación.
- El mensaje suena aterrador, tiene un lenguaje alarmista para crear un sentido de urgencia, instándole a que haga clic y “actúe ahora” antes de se elimine su cuenta.
- El mensaje contiene archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener malware, ransomware o alguna otra amenaza online.
- El mensaje contiene enlaces que parecen un poco extraños. Los hiperenlaces incluidos pueden no llevar a donde parece.
Como evitarlo:
- No abra correos electrónicos de remitentes que no le sean familiares.
- No haga clic en un enlace dentro de un correo electrónico a menos que sepa exactamente a dónde le lleva.
- Busque el certificado digital del sitio web.
- Compruebe que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. La mayoría de los sitios legítimos utilizan HTTPS porque es más seguro.
- Si sospecha de un correo electrónico, seleccione un nombre o parte del texto del mensaje y llévelo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.
- Pase el cursor del ratón por encima del enlace para ver si es legítimo.
- Utilizar algún tipo de software de seguridad antimalware.
(Inglés)
Definition:
We can define it as a type of telecommunications fraud that uses social engineering tricks to obtain private data from its victims, that is, a fraudulent practice that consists of sending emails that claim to come from reputable companies with the intention of getting the recipient to reveal personal information, such as passwords or credit card numbers.
Persuades the victim to voluntarily disclose sensitive information and relies on a specific narrative or image to present itself as legitimate.
Types:
- By email: Email messages are the most common method. These messages often contain links to malicious websites or malware-infected attachments.
- By Website: Known as fake sites, these are fake copies of websites you know and trust. Hackers create these sites to trick you into entering your login credentials, which they then use to connect to your accounts. Pop-ups are another common source of website phishing.
- Vishing: Abbreviation for "voice phishing" refers to the sound version of Internet phishing. The attacker attempts to convince victims over the phone to reveal personal information that can later be used for identity theft. Many robocalls are vishing attempts.
- Smishing: It is phishing via SMS. You receive a text message asking you to click a link or download an app. However, doing so tricks you into downloading malware onto your phone that can capture your personal information and send it to the attacker.
- By social networks: Some attackers can sneak into social network accounts and force people to send malicious links to their friends. Others create fake profiles and use them to trick their victims.
Common strategies:
Phishing Phishing: This is a term that refers specifically to hackers attempting to impersonate legitimate companies or individuals in order to gain your trust.
Whaling: ("whaling"), consists of phishing attacks directed against a specific person of high value.
CEO Fraud: Phishers pose as the chief executive officer (CEO) or any other senior official of a company in order to obtain payment or information about employees. They are common after a whaling attack.
Pharming: (Combination of “phishing” and “farming”, “cultivation”), attacks use technological tricks to trick you, instead of the usual bait. If you don't pay attention, you won't notice the deception until it's too late.
Cloning Phishing: Attackers take a legitimate email, "clone" it, and send an exact copy to all previous recipients, with one fundamental change: the links are now malicious.
Link manipulation: Phishers send links that appear to lead to a URL, but when you click on them, they take you elsewhere. Common tricks include deliberate misspellings (e.g. "luna" and "Iuna" look the same, but the latter uses a capital i) or using the name of a trusted website as the display text of a link . These attacks are also known as homographs.
Cross-site scripting: Sophisticated phishers can exploit weaknesses in a website's scripts to hijack it and use it for various purposes. It is difficult to detect because everything on the website looks legitimate.
Real cases:
In 2017, a group of hackers sent phishing emails to employees of the three largest restaurant chains in the United States, Chipotle, Arby's and Chili's. The emails included malicious software attached, which was silently installed on the targeted computers and gave hackers access to the internal networks of these companies. Using this software, hackers were able to steal more than 15 million credit card records belonging to customers of those three chains.
Director of the FAAC, an aircraft parts company, Waltar Staphan, was the victim of an email phishing attack, which resulted in his dismissal. He received a message saying that a high-ranking person in the company needed a confidential wire transfer worth $56.8 million. Staphan made the request and it was only after the transaction was completed that the crime was identified. Only 1/5 of the total amount of the deposit was recovered. The rest of the money disappeared into accounts in Slovakia and Asia.
FACEBOOK and GOOGLE: Both were scammed out of over $100 million USD between 2013 and 2015 through an elaborate fraudulent invoice scam. A cybercriminal from Lithuania sent bogus invoices to both companies posing as an Asian supplier.
Signs that identify it:
-You recognize the sender, but it's someone you don't deal with and the content of the email has nothing to do with his usual job responsibilities. The same goes for being copied in an email to people you don't even know, or perhaps a group of colleagues from departments you don't have a relationship with.
- The message sounds scary, it has alarmist language to create a sense of urgency, urging you to click and “act now” before your account is deleted.
- The message contains unexpected or strange attachments. These attachments may contain malware, ransomware, or some other online threat.
- The message contains links that seem a bit strange. The included hyperlinks may not lead where they seem.
How to avoid it:
- Do not open emails from senders you are not familiar with.
- Don't click on a link within an email unless you know exactly where it takes you.
- Look for the digital certificate of the website.
- Check that the URL of the page starts with "HTTPS" instead of just "HTTP". The "S" stands for "safe." Most legitimate sites use HTTPS because it is more secure.
- If you're suspicious of an email, select a name or part of the message text and take it to a search engine to see if there are any known phishing attacks using the same methods.
- Hover your mouse cursor over the link to see if it's legitimate.
- Use some type of anti-malware security software.