Todos ustedes saben acerca de la pesca, ¿verdad? Sales con un aparejo de pesca, eliges el cebo, lo tiras al agua y retrocedes cuando pescas un pez. ¿Alguna vez se preguntó si también podría ser atrapado, en línea, a través de correos electrónicos de phishing?
En realidad, no lo es pescarbastante suplantación de identidad que se dirige a usted en Internet. Para esto, un correo electrónico de phishing viene como cebo para atraparlo.
El phishing es la variante digital de la pesca y es el ataque de Internet más común y directo. Es la forma más común que utilizan los hackers para robar información de los usuarios. Es un ciberataque venerable y sofisticado en constante evolución.
Desde organizaciones hasta usuarios individuales, todos los que están conectados a Internet están expuestos a este peligro. Mientras que la mayoría de los usuarios incluso han sido víctimas de ataques de phishing al menos una vez.
A pesar de ser una estrategia antigua, Los ataques de phishing siguen siendo los ciberataques más exitosos. Se debe a la diversidad de estrategias que emplean los delincuentes para engañar a los usuarios. Sin embargo, el vector crítico a través del cual se ejecutan los ataques de phishing hoy en día sigue siendo el correo electrónico.
Por ejemplo, puede recibir un correo electrónico de un abogado falso que afirma que es pariente de un millonario que falleció recientemente. En cuanto a heredar la fortuna dejada, debe cumplir con los requisitos establecidos, en este caso, compartir información sensible.
El phishing se presenta de diferentes formas, aunque, nuevamente, los correos electrónicos fraudulentos son los más comunes. Para evitar ser un objetivo potencial de estos phishing cibercriminales, es vital obtener información sobre el phishing y cómo prevenirlo.
Por lo tanto, con este artículo, explicaremos en detalle el significado de los correos electrónicos de phishing y cómo identificarlos. También lo guiaremos sobre las cosas que puede hacer para protegerse si es víctima de un ataque de phishing por correo electrónico.
¿Qué es el phishing?
Obtener la definición correcta de phishing puede ser bastante confuso para algunas personas, ya que existen varias explicaciones. Sin embargo, cada descripción que encuentre allí conlleva el significado de fraude.
El diccionario de idiomas de Oxford define el phishing como actividades fraudulentas que involucran a personas que reciben correos electrónicos o mensajes que pretenden ser de compañías reconocidas, incitándolos a compartir información personal.
Una vez que su información, como los datos bancarios o de la tarjeta de crédito, llega a manos de estos piratas informáticos, es probable que pierda fondos personales. Otros atacantes pueden apuntar a datos corporativos para sabotear negocios o provocar pérdidas financieras. Aunque los ataques cibernéticos difieren, el phishing utiliza una técnica que provoca que los destinatarios compartan datos personales o críticos para el negocio.
Por lo general, los ciberdelincuentes utilizan ampliamente el phishing como una herramienta digital para atraer a las personas objetivo para que proporcionen datos como contraseñas y números de tarjetas de crédito.
Estos ataques de phishing a menudo se realizan a través de correos electrónicos y sitios de redes sociales. Aquí, los ciberdelincuentes se disfrazan de fuentes confiables o empresas que engañan a las víctimas para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos específicos. Aquí hay un desglose de los tipos de datos a los que se dirigen los piratas informáticos a través del phishing;
- Información personal: dirección de correo electrónico, nombre y número de seguro social
- Información de tarjeta de crédito: PIN, contraseña, número de CC y nombre de usuario
- Información de negocios: Pronósticos de ventas, patentes e información sobre productos
- Información bancaria: número de cuenta, credenciales en línea y PIN
- Información médica: Reclamos de seguro
El phishing existe desde mediados de la década de 1990, y estos ataques maliciosos se han vuelto más eficientes y avanzados en la actualidad. Además, un solo pirata informático puede apuntar a una red o grupos más extensos en todo el mundo con facilidad.
La historia del phishing
Al igual que los pescadores atraen a los peces a través de la pesca, los piratas informáticos tienden una trampa para los destinatarios a través del phishing. Tanto «pesca» como «phishing» son dos términos paralelos y con un significado casi idéntico.
Entonces, quizás se pregunte, ¿por qué no referirse a estas formas de ciberdelincuencia como “phishing”? En general, el término «phishing» surgió en la década de 1990 para referirse a los métodos de los ciberdelincuentes para robar información personal.
Desde que ocurrió el primer ataque, los piratas informáticos se refirieron a sí mismos como «phreaks» y se involucraron en técnicas de «phreaking» para violar los sistemas de telecomunicaciones. Por esta razón, de ahí viene el nombre de “phishing”, y es el título que usamos para referirnos a estas personas hasta el día de hoy.
Dicho esto, el primer evento de phishing tuvo lugar en la década de 1990, cuando AOL, uno de los principales proveedores de servicios de Internet, fue víctima de piratas informáticos. Aquí hay una breve línea de tiempo de Phishing;
- 1990: AOL fue la primera empresa en experimentar esta forma de hackeo. Los piratas informáticos introdujeron una comunidad de software en AOL y comercializaron herramientas pirateadas. Luego, comenzaron a robar los nombres de usuario y las contraseñas de los usuarios de AOL. Posteriormente, los piratas informáticos generaron información de tarjetas de crédito a partir de datos robados a través de su algoritmo. Las tarjetas de crédito falsas se utilizaron para crear cuentas de AOL y enviar spam a los usuarios.
- 1995: AOL estableció medidas correctivas contra cuentas y algoritmos falsos. Luego, los piratas informáticos recurrieron a correos electrónicos falsos, y aquí es donde comenzó el phishing. Los piratas informáticos se hicieron pasar por AOL y comenzaron a enviar correos electrónicos falsos a los usuarios. Debido a que era algo nuevo entonces, la mayoría de los usuarios cayeron en la trampa fácilmente. Los piratas informáticos utilizaron correos electrónicos duplicados similares a los enviados por los funcionarios de AOL en ese momento.
- 2003: A raíz de la moneda digital, los ciberdelincuentes se centraron en esta industria. Usaron tácticas de suplantación similares y tuvieron bastante éxito engañando a los usuarios de E-Gold de entonces. La mayoría de ellos compartió su información y terminaron robando sus fondos. La empresa de pagos en línea fue acusada de lavado de dinero y se vio obligada a detener sus actividades. El phishing ganó popularidad y llevó a los estafadores a crear dominios falsos, que se asemejan a entidades genuinas y convencieron a los usuarios de compartir datos personales.
- 2004: Con esta nueva forma de estafa ganando popularidad, los ciberdelincuentes desarrollaron nuevos medios de phishing. En el año, se atacaron organizaciones establecidas, como sitios web bancarios globales.
- En 2004-2005 el mundo comenzó a sentir el impacto del phishing. Se perdieron alrededor de $ 929 millones a través del phishing solo en los EE. UU. De diferentes usuarios. Se introdujeron innumerables contramedidas y mensajes de concientización con el motivo de prevenir el phishing. Sin embargo, los casos de phishing continuaron tanto para individuos como para organizaciones porque se habían vuelto más avanzados, mientras que los estafadores habían inventado formas efectivas de estafar a sus objetivos.
- 2019 vio que casi el 88% de las empresas en todo el mundo experimentaron al menos una forma de phishing.
¿Qué es un correo electrónico de phishing?
Un correo electrónico de phishing es simplemente un correo electrónico que le llega de los ciberdelincuentes, con la esperanza de que lo phishing.
Significa que los delincuentes se esfuerzan por recopilar información sobre usted y sobre usted mediante el envío de correos electrónicos falsos. La información de destino puede variar desde credenciales de inicio de sesión hasta datos personales y bancarios confidenciales.
A veces, los correos electrónicos también pueden entregar malware en sus dispositivos y luego robarles datos.
Estos correos electrónicos nunca son legítimos. Pero siempre se hacen pasar por otros correos electrónicos legítimos que recibe con frecuencia. Por ejemplo, estos correos electrónicos pueden aparecer como un correo electrónico de su banco, como una respuesta a su solicitud de empleo o como una alerta de algún servicio de redes sociales como Facebook.
Además, con bastante frecuencia, un mensaje electrónico de phishing (el correo electrónico) aparece como un mensaje del director ejecutivo de su empresa o de un colega. Este tipo de ataque de phishing tiene un éxito increíble al realizar ataques a gran escala en diferentes organizaciones.
Irónicamente, algunos correos electrónicos falsos también aparecen como avisos de las fuerzas del orden o avisos legales para generar estrés psicológico en los usuarios objetivo. Además, los usuarios siguen siendo objetivo de las plataformas de comercio electrónico, como en las estafas de PayPal y los correos electrónicos de phishing de Amazon.
A menudo, se vuelve un desafío distinguir estos correos electrónicos falsos de los legítimos exclusivamente. Por lo tanto, los usuarios abren con frecuencia dichos correos electrónicos, siguen lo que se les pide y terminan compartiendo sus datos con piratas informáticos criminales.
En otras palabras, terminas siendo phishing!
Tipos de correos electrónicos de phishing
Según la víctima objetivo y cómo se envía un correo electrónico, los mensajes de phishing se clasifican en lo siguiente:
pesca submarina
Este es el tipo más común de ataque de phishing realizado por la mayoría de los atacantes. Spearphishing casi siempre está dirigido a usuarios individuales o usuarios de organizaciones objetivo.
Significa que, a diferencia de los correos electrónicos convencionales que llegan a su bandeja de entrada sin rumbo fijo, los correos electrónicos de spearphishing tienen un diseño particular para atrapar al objetivo.
Estos correos electrónicos no mencionarán su nombre (en la mayoría de los casos), pero llegan de la manera en que los recibe con frecuencia.
Por ejemplo, los correos electrónicos pueden llegar como una notificación de uno de los servicios de redes sociales que utilizacomo Facebook.
Estos correos electrónicos pueden incluso parecer legítimos, ya que los atacantes también harán una pequeña búsqueda sobre usted antes de enviar un correo electrónico de phishing. Por lo tanto, puede recibir una notificación de Facebook con respecto a una foto que acaba de subir su amigo, que, de hecho, no sería más que un correo electrónico de phishing.
Este tipo de precisión de correos electrónicos falsos también es posible cuando los atacantes apuntan a su organización mientras se aprovechan de usted. Puede recibir correos electrónicos que parecerían de su jefe o un colega.
Cuanto más preciso sea un correo electrónico de spearphishing, es más probable que haga clic en él y siga lo que se le pide.
Spearphishing puede no parecer peligroso. Sin embargo, esta estrategia inofensiva ha resultado en ataques de alto perfil respaldados por el estado y otras actividades de ciberespionaje.
BEC (Compromiso de correo electrónico comercial)
Si trabaja en una gran organización, usted y su empresa son propensos al phishing BEC.
¿Qué es BEC?
Este tipo de correo electrónico de phishing también se parece a los ataques de spearphishing. Pero son más específicos del sector empresarial.
Como su término lo indica, este tipo de ataque funciona al comprometer los correos electrónicos comerciales. El FBI explica que los atacantes se hacen pasar por cualquier persona de su confianza, como su colega de oficina, su jefe o un proveedor con el que su empresa trata como rutina. Dado que el remitente parece conocido y legítimo, confía en los correos electrónicos recibidos por su parte.
A través de estos correos electrónicos, el los atacantes intentan engañar para hacer grandes transacciones. Por ejemplo, solicitar urgentemente algún pago atrasado o comprar tarjetas de regalo y compartir los números de serie con su jefe en muy poco tiempo.
Este sentido de urgencia dificulta que la víctima busque detalles o verifique los correos electrónicos. Esa es la razón por la que estos ataques siguen siendo muy exitosos para los ciberdelincuentes.
Ballenero
Whaling es solo otro ataque de phishing con un objetivo corporativo. Estos ataques son muy específicos y los atacantes apuntan a objetivos de alto perfil.
En otras palabras, los atacantes se aseguran de que la víctima objetivo sea lo suficientemente capaz de satisfacer sus demandas. Entonces ellos suplantación de identidad ballenas en lugar de pequeños peces.
Precisamente, la caza de ballenas apunta a personas de alto perfil, como los miembros de la junta o los altos ejecutivos de una empresa. Mientras los atacantes se hacen pasar por un empleado subalterno que comparte una queja delicada de un cliente o un colega que discute algún otro asunto delicado como una citación.
Dada la naturaleza comercial del correo electrónico, es probable que la víctima confíe en el remitente y haga lo que se le pide.
Estos ataques a menudo tienen propósitos distintos a las ganancias financieras.
Por ejemplo, los atacantes pueden implantar malware…
