Soy el phisher residente de White Ops. Como miembro del equipo de InfoSecurity, mi trabajo es asegurarme de que todo lo que hacemos sea seguro y libre de ciberdelincuentes para que podamos luchar por ti. Para hacer esto, despliego intentos de phishing falsos en los propios humanos de Operaciones Blancas, no para avergonzarlos cuando hacen clic en un enlace (aunque a veces se sienten frustrados), sino para mostrar cuán realista, incluso humano, puede aparecer un intento de phishing. Si bien debemos permanecer particularmente vigilantes dada nuestra línea de trabajo, el phishing puede dirigirse a cualquier persona. El phishing es un ataque de ingeniería social de bajo riesgo y alta recompensa que utiliza la comunicación electrónica para explotar a un usuario final para que proporcione información personal o haga clic en enlaces maliciosos.
Sin la información adecuada sobre cómo detectar los intentos de phishing, puede abrirse a todo tipo de malware y comportamientos fraudulentos. Especialmente desde que el phishing ha recorrido un largo camino desde las infames estafas de príncipe extranjero. Los ciberdelincuentes han evolucionado sus tácticas, lo que hace que sea aún más difícil atrapar un phish.
¿Existen diferentes tipos de phishing?
El phishing no es solo un tipo de ataque, es una categoría de ataques. Hay ataques de spear phishing, smishing, vishing y caza de ballenas:
El Spear Phishing es un phish dirigido generalmente a un usuario u organización específicos. Para ello, los estafadores utilizan la información personal que se puede detectar en línea para ponerse en contacto con usted. Esta información se puede encontrar en áreas de Internet que están disponibles de forma gratuita, como en las redes sociales. Estos suelen tomar la forma de correos electrónicos, como la Figura 1. Puedes ver que el correo electrónico es vago y urgente para atraer a alguien a hacer clic.
Smishing es un phish de SMS que generalmente le pide que haga algo, como proporcionar algún tipo de información personal o hacer clic en un enlace. Este phish es particularmente engañoso porque las personas son más propensas a confiar en un mensaje de texto que en un correo electrónico. En la Figura 2, se puede ver lo inocuos de un texto que pueden ser. Por lo general, un ataque de smishing tendrá una solicitud muy amplia para que descargue una aplicación maliciosa o vaya a un sitio web falso donde debe ingresar datos de PII (información de identificación personal).
Vishing es un phish que se lleva a cabo por teléfono donde los estafadores le piden que proporcione algún tipo de información personal. El auge de la tecnología VOIP ha hecho que sea más fácil para los adversarios falsificar identificadores de llamadas. Vemos que este ataque ocurre mucho cuando los estafadores fingen ser del IRS diciendo que les debes dinero o irás a la cárcel. Lo hacen para obtener números de seguro social o cualquiera de sus datos de PII.
La caza de ballenas es un tipo de ataque de spear phishing que se centra más en objetivos de alto perfil. Con otros tipos de phishing, el objetivo es un grupo de personas, no se trata de cada individuo. La caza de ballenas se duplica en personas específicas y se dirige a ellas. Se llama caza de ballenas porque van tras objetivos más grandes como ejecutivos de alto nivel. Por lo general, los estafadores fingirán ser un ejecutivo de alto nivel para hacer que la gente divulgue información confidencial de la empresa. Por ejemplo, se dirigirán a un vicepresidente fingiendo ser el CEO. La Figura 3 muestra un intento de caza de ballenas dirigido a un empleado de Operaciones Blancas. El phish utiliza la urgencia tanto en el lenguaje como al hacer que parezca ser del CEO de White Ops & cofundador, Tamer Hassan. Las características distintivas adicionales incluyen la gramática torcida, las letras extraviadas y las mayúsculas incorrectas de «iPhone».»Este es un phish bastante obvio para nosotros, ya que Tamer no le pediría a la gente que le hiciera «recados».
¿Qué debo tener en cuenta?
Afortunadamente, una vez que aprendes las características de los intentos de phishing, se vuelven más fáciles de detectar e informar. Hay varios elementos que debe verificar antes de hacer clic en cualquier enlace:
- Direcciones de correo electrónico sospechosas: Si recibieras un correo electrónico de Linkedin, esperarías que procediera de un linkedin.com dominio no [email protected]. Siempre revisa el correo electrónico «responder a» para encontrar remitentes falsificados.
- Enlaces sospechosos en el correo electrónico / SMS: Puede determinar la legitimidad del enlace al pasar el cursor sobre él antes de hacer clic. Al analizar la URL, asegúrese de que comienza con https:// http://. También puede consultar el certificado del sitio para ver a quién se le ha emitido. Un enlace fraudulento por lo general se parece a errores gramaticales XYZ
- : Compruebe siempre si hay errores gramaticales, no solo errores ortográficos.
- Innecesariamente urgente: A los Phishers les encanta pedirte que hagas algo ahora mismo o de lo contrario. Ya sea haciendo clic en un enlace o respondiendo a un correo electrónico, quieren que actúes lo antes posible. Lo hacen para intentar asustarte o amenazarte, como cerrar una cuenta o confirmar una actividad.
- Saludos genéricos: El correo electrónico puede comenzar con Estimado Señor o Señora o Estimado Usuario, que no es la forma en que las personas normalmente se hablan entre sí al escribir correos electrónicos. Por lo general, no es personalizado a menos que se trate de spear phishing.
- Ofertas que son demasiado buenas para ser verdad: Eso es porque ellos son! No respondas ni hagas clic en ningún enlace de estos correos electrónicos.
¿Cómo puedo protegerme?
Es posible ser proactivo en la protección de su información de ataques de phishing.
- Esté atento a las noticias: Nuevas formas de phishing están evolucionando cada día y, por lo general, se cubrirán los principales ataques. Si sabe a qué debe prestar atención, puede ser más fácil detectar este tipo de ataques. Si no está seguro de si algo es un phish, copie un fragmento de texto del cuerpo del correo electrónico y péguelo en una búsqueda para ver si se trata de un correo electrónico de phishing conocido.
- Actualice su sistema operativo con regularidad: Los atacantes intentan aprovechar las vulnerabilidades conocidas de los sistemas para que esté al día de las últimas actualizaciones de seguridad en todos sus dispositivos. La mejor solución es habilitar las actualizaciones automáticas en todos sus dispositivos para garantizar que esté en el mejor y más reciente sistema operativo. Además, asegúrese de que su navegador de su elección también se actualice automáticamente.
- No abra archivos adjuntos ni enlaces: Esto es especialmente importante cuando recibe un correo electrónico de un remitente desconocido. Si no conoce al remitente, no abra el archivo adjunto. Los ejemplos pueden incluir archivos adjuntos en PDF. Excel, Word o Powerpoint. Además, asegúrate de pasar el cursor sobre el enlace y determinar la legitimidad del enlace antes de hacer clic.
- Habilitar cortafuegos: Active el cortafuegos de su dispositivo y red para asegurarse de filtrar a los atacantes externos.
- Evite responder llamadas desconocidas: Es una buena práctica no responder una llamada desde un identificador de llamadas desconocido. Nunca des información personal por teléfono, especialmente si suena irrealmente urgente.
- Haga copias de seguridad periódicas de sus dispositivos: En caso de que su dispositivo se vea comprometido, es una buena práctica restaurar desde una copia de seguridad conocida.
- Póngase en contacto con el remitente real: Si recibió un correo electrónico sospechoso de un amigo cercano, familiar o negocio, comuníquese con ellos para ver si el mensaje estaba destinado a enviarse. Es posible que les estés haciendo un favor al mostrarles cómo podrían estar potencialmente comprometidos.
Me enamoré de un phish, ¿qué hago ahora?
¡No te asustes! Si cree que sus credenciales se han visto comprometidas, avise a su equipo de liderazgo o de seguridad lo antes posible y, a continuación, vaya a los sitios en los que utiliza estas credenciales y cámbielas. Además, habilite 2FA (Autenticación de dos factores) si aún no lo ha hecho. Use un administrador de contraseñas y asegúrese de tener contraseñas únicas en cada sitio que use, y habilite 2FA en cualquier sitio que lo ofrezca, también debe verificar todas sus cuentas en línea para ver si hay alguna actividad inusual asociada con ellas.
Si estas credenciales se utilizan para una institución financiera, me comunicaría con ellas de inmediato y explicaría la situación. Considere congelar su crédito si le preocupa que el ataque pueda haber resultado en el acceso a su información de seguro social. Usarlo como una oportunidad de aprendizaje y enseñar a la familia y amigos para que no caiga en el mismo ataque. Si haces clic en un enlace y crees que tu dispositivo está infectado con malware, restaura el dispositivo desde una copia de seguridad válida conocida o restaura de fábrica.
Incluso cuando alguien hace todo lo posible para estar seguro en línea, todavía puede quedar atrapado en una red de pesca (juego de palabras). Mientras sigas estos pasos, estarás mejor la próxima vez que un estafador intente meterse contigo.