Los esquemas de phishing generalmente implican que se engañe a una víctima para que entregue información que luego puede usarse en algún tipo de estafa. La información a menudo se busca a través de un correo electrónico, una llamada telefónica (phishing de voz o vishing) o un mensaje de texto (phishing o smishing de SMS). El phishing es un elemento muy común en muchos tipos de estafas en Internet que pueden dirigirse a miles de personas a la vez con la esperanza de que uno o dos sean engañados.
El phishing es un tipo de phishing más específico. El perpetrador generalmente ya conoce alguna información sobre el objetivo antes de hacer un movimiento. Cuando considera cuántos detalles personales podría descubrir alguien sobre usted en Internet en estos días, realmente no es tan difícil para alguien hacerse pasar por una fiesta de confianza y engañarlo para que le entregue información adicional.
Afortunadamente, si conoce estos tipos de estafas y sabe a qué atenerse, puedes evitar convertirte en la próxima víctima.
En esta publicación, entraremos en más detalles sobre qué es el spear phishing y brindaremos algunos ejemplos de esquemas de phishing. Luego le ofreceremos algunos consejos para ayudarlo a asegurarse de que no quede atrapado. Empecemos!
¿Qué es el spear phishing?
Como se mencionó, el spear phishing es una forma específica de phishing. Casi todas las estafas en línea comienzan con alguna forma de phishing, pero muchos de estos intentos se dirigen al azar a una gran audiencia. Por ejemplo, puede recibir un correo electrónico indicando que está recibiendo algo de dinero y solo necesita proporcionar algunos datos personales. Esta es una forma de phishing, pero no está dirigida.
Una sección de un correo electrónico de phishing general que solicita información personal.
En un intento de phishing de lanza, un perpetrador necesita saber algunos detalles sobre la víctima. Usando estos detalles, el estafador tiene como objetivo infundir confianza en la víctima y llegar lo más lejos posible con la estafa. Entonces, ¿dónde encuentran estos detalles? Estos se pueden obtener de un intento de phishing anterior, una cuenta violada o en cualquier otro lugar donde puedan encontrar información personal. Las redes sociales, en particular, son un hervidero de información sobre individuos y empresas..
Los intentos de phishing pueden tomar muchas formas diferentes. Algunos intentan que haga clic en un enlace que podría conducir a un sitio web que descarga malware, un sitio web falso que solicita una contraseña o un sitio que contiene anuncios o rastreadores. Otros intentos de suplantación de identidad pueden pedirle que proporcione su número de seguro social, entregar su tarjeta de crédito o información bancaria, o simplemente enviar algo de dinero.
Ataques a individuos
A nivel personal, los estafadores podrían hacerse pasar por un negocio de su confianza, por ejemplo, un banco o una tienda en la que haya comprado. Podrían ofrecer grandes ofertas, decirle que debe dinero o que le deben dinero, o que una cuenta está a punto de congelarse. Incluso pueden pretender ser alguien que conoces, directa o indirectamente. Por ejemplo, haciéndose pasar por alguien que fue a su antigua escuela o es miembro de su grupo religioso podría hacer que se abra.
Ataques a empresas
El spear phishing es una forma muy común de ataque a las empresas también. Debido a que está tan dirigido, el phishing con lanza es posiblemente el tipo de ataque de phishing más peligroso. Según el Instituto SANS, el 95% de los ataques a redes empresariales implican intentos exitosos de phishing con lanza. Además, un informe de 2023 de IRONSCALES reveló que la suplantación de identidad está cada vez más designada con láser (PDF), con el 77% de los correos electrónicos dirigidos a diez buzones o menos. Además, su estudio encontró que un tercio de los ataques se dirigieron a un solo buzón.
Fuente: IRONSCALES
Una estafa común de spear phishing en las compañías involucra al estafador haciéndose pasar por un ejecutivo de la compañía y solicitando que un empleado desprevenido transfiera dinero a una cuenta que pertenece al estafador. Esto a menudo se conoce como “caza de ballenas” y es un tipo de fraude de CEO.
Fuente: Symantec
Como puede ver en la sección anterior de una infografía de Symantec, la prevalencia de intentos de phishing ha aumentado rápidamente en los últimos años. Si bien los estafadores se dirigen a empresas de todos los tamaños, los ataques contra las pequeñas empresas son cada vez más populares.
Ejemplos de phishing
Los intentos de phishing han sido utilizados para estafar a individuos y empresas con millones de dólares. También pueden causar daños en otras áreas, como robar información secreta de las empresas o causar estrés emocional a las personas. Estos son algunos ejemplos de ataques exitosos de spear phishing.
Intentos de spear phishing dirigidos a empresas
Los estafadores se dirigen a las empresas todo el tiempo, pero aquí hay algunos ejemplos de algunos ataques de alto perfil..
Ubiquiti Networks Inc
En 2015, esta compañía entregó más de $ 40 millones en una estafa de phishing con fraude de CEO. Aparentemente, los correos electrónicos enviados por altos ejecutivos ordenaron a los empleados que envíen fondos de una subsidiaria en Hong Kong a cuentas que pertenecen a terceros. Los correos electrónicos en realidad provenían de los estafadores y las cuentas de terceros les pertenecían.
Epsilon
Esta compañía de marketing en línea fue elegida en 2011 como parte de un plan para obtener credenciales de clientes, posiblemente para su uso en otros intentos de phishing.
Dado que los datos son la base del negocio de Epsilon, es fácil ver por qué sería un objetivo ideal.
Los informes indican que los correos electrónicos de phishing pueden haber contenido un enlace a un sitio que descargaba malware, que a su vez desactivaba el software antivirus, proporcionaba acceso remoto al sistema y podía usarse para robar contraseñas. Estos correos electrónicos se enviaron a diferentes empresas de marketing, pero siempre se dirigieron a los empleados responsables de las operaciones de correo electrónico..
Fundación Electronic Frontier
En 2015, los estafadores usaron el disfraz de confianza de la Electronic Frontier Foundation (EFF) para dirigir a las víctimas a un sitio falso (Electronicfrontierfoundation.org). Fue utilizado para distribuir keyloggers y otro malware, pero el EFF ha tomado el control del dominio..
Ahora simplemente redirige a una publicación de blog de EFF que detalla la estafa.
RSA
La firma de seguridad RSA fue atacada en un intento exitoso de phishing a principios de 2011. Dos grupos dentro de la compañía recibieron correos electrónicos de phishing simplemente titulados “Plan de reclutamiento 2011”. Aunque los correos electrónicos se marcaron como correo basura, un empleado abrió un archivo adjunto de correo electrónico que finalmente condujo a la instalación de una forma de malware en la computadora. El malware le dio al atacante acceso remoto y la capacidad de robar datos confidenciales.
Alcoa
El ejército chino ha sido acusado de múltiples intentos de phishing con el objetivo de robar secretos comerciales de compañías estadounidenses. Se informó que uno de ellos estaba dirigido a la empresa de aluminio Alcoa. En 2008, se sospecha que los piratas informáticos se contactaron con 19 empleados senior de Alcoa por correo electrónico, haciéndose pasar por un miembro de la junta de la compañía. Una vez abierto, el correo instaló malware en las computadoras de los destinatarios, lo que resultó en el robo de casi 3.000 correos electrónicos y más de 800 archivos adjuntos.
Intentos de spear phishing dirigidos a individuos
Si bien las empresas ven enormes pérdidas por estos ataques, tanto directa como indirectamente, el impacto en un individuo puede ser aún más grave. Tomemos, por ejemplo, la inquietante historia de un usuario de reddit que entrevistamos para un artículo anterior.
Fue atacada por un criminal que utilizó la ingeniería social para que le entregara una contraseña a una cuenta de correo electrónico. Esto eventualmente llevó al estafador a hacerse cargo de varias redes sociales y cuentas de correo electrónico y chantajear a la víctima con los contenidos..
Esa estafa fue particularmente dañina emocionalmente, mientras que otros están puramente motivados financieramente. Algunos esquemas de phishing a gran escala afectan a los usuarios de grandes empresas, como los siguientes:
PayPal
Los usuarios de PayPal parecen ser el objetivo de infinitos intentos de phishing en general. La gran cantidad de usuarios significa que los correos electrónicos generales masivos tendrán una mayor probabilidad de éxito. Sin embargo, algunos usuarios de PayPal se han visto afectados por correos electrónicos de spear phishing más específicos. En realidad, se dirigen al cliente por su nombre, haciéndolos parecer más legítimos que su correo electrónico de phishing estándar..
Amazonas
Amazon es otra compañía que tiene tantos usuarios, que vale la pena las posibilidades de enganchar a uno a través de un intento de phishing general. Pero los usuarios de Amazon también deben tener cuidado con los ataques de phishing de lanza. Se produjo un gran ataque dirigido en 2015 cuando se enviaron hasta 100 millones de correos electrónicos a clientes de Amazon que habían realizado un pedido recientemente. Los correos electrónicos parecían reales, con un título de “Su pedido de Amazon.com ha sido enviado”, seguido de un código de pedido. Pero en lugar de un mensaje, el correo electrónico solo incluía un archivo adjunto. La apertura del archivo adjunto finalmente llevó a algunos destinatarios a instalar el ransomware Locky, que implicó un rescate de bitcoin.
Otros ejemplos comunes de estafa de phishing con lanza
Además de esos casos específicos, aquí hay algunos ejemplos de escenarios más generales que puede encontrar. Estas todos usan información que podría ser obtenida de publicaciones en redes sociales, especialmente si es propenso a divulgar información sobre dónde compra, come, realiza operaciones bancarias, etc..
- Un correo electrónico de una tienda en línea sobre una compra reciente. Puede incluir un enlace a una página de inicio de sesión donde el estafador simplemente cosecha sus credenciales.
- Una llamada telefónica automática o un mensaje de texto de su banco que indique que su cuenta puede haber sido violada. Le dice que llame a un número o siga un enlace y proporcione información para confirmar que usted es el titular real de la cuenta.
- Un correo electrónico indicando que su cuenta ha sido desactivada o está a punto de caducar y debe hacer clic en un enlace y proporcionar credenciales. Los casos relacionados con Apple y Netflix fueron ejemplos sofisticados recientes de este tipo de estafa.
- Un correo electrónico que solicita donaciones a un grupo religioso u organización benéfica asociada con algo en su vida personal..
Cuando piensa en cuánta información se puede encontrar en las redes sociales, es fácil ver cómo alguien podría ganar rápidamente su confianza simplemente declarando un interés común o haciéndose pasar por una empresa con la que tiene un historial..
Cómo evitar las estafas de phishing
Algunas estadísticas bastante preocupantes surgieron de un estudio de Intel de 2015, que reveló que el 97% de las personas no podían identificar correos electrónicos de phishing. De hecho, en toda la industria de la ciberseguridad, el principal consejo para prevenir los intentos exitosos de phishing es la educación..
En esta sección ofreceremos consejos para ayudar tanto a individuos como a empresas proteger contra estas estafas. Veremos estos detalles con más detalle a continuación, pero aquí hay una lista de pasos accionables que puede tomar para combatir los intentos exitosos de phishing:
- Aumentar la conciencia
- Usa herramientas de defensa
- Esté atento a los correos electrónicos falsos
- Evite hacer clic en enlaces y archivos adjuntos
- Esté atento a los sitios de phishing
- Evita enviar información personal
- Verificar solicitudes sospechosas
- Use contraseñas seguras y un administrador de contraseñas
Ahora, echemos un vistazo más de cerca a cada uno de estos pasos..
Aumentar la conciencia
Al igual que con cualquier estafa, una de las principales formas de evitarla es darse cuenta de cómo se produce la estafa. Compartir la información con sus amigos, familiares y colegas también puede ayudar a evitar que se conviertan en víctimas. Si usted es dueño de un negocio, es crucial para asegurar que sus empleados estén educados sobre el tema de los ataques de phishing, particularmente el spear phishing.
Puede mantenerse actualizado sobre estos temas leyendo blogs como el nuestro y los de los principales proveedores de software de seguridad, como McAfee y Norton..
Para las empresas, puede ejecutar una prueba gratuita para ver cuán “propensos a phishing” son sus empleados. En función de esos resultados, puede decidir el mejor curso de acción a seguir para mejorar la capacitación y evitar intentos exitosos de phishing. Empresas como KnowBe4 brindan capacitación sobre conciencia de seguridad contra tales ataques.
Usa herramientas de defensa
Si bien la educación y la conciencia son algunas de las mejores defensas que existen, las herramientas son disponible para ayudar a defenderse de los ataques de phishing. Estos son especialmente útiles para las empresas donde hay mucho en juego si un intento tiene éxito. Algunas de las herramientas disponibles incluyen PhishDefender de InfoSec y Cofense (anteriormente PhishMe).
Para las personas, los principales proveedores de correo electrónico están intensificando su juego cuando se trata de tácticas contra el phishing. Con la ayuda de técnicas de aprendizaje automático, Gmail afirma bloquear el 99.9% de los correos electrónicos no deseados.
Esté atento a los correos electrónicos falsos
Tenemos una publicación completa dedicada a detectar correos electrónicos de phishing, pero estos son los principales puntos a seguir:
- No confíes en los nombres para mostrar ya que estos pueden ser cualquier cosa que un estafador quiera que sean.
- Verificar dominios de correo electrónico falsos; a menudo serán versiones ligeramente diferentes de lo real.
- Mira el logo y otras imágenes; imágenes de baja resolución pueden ser un regalo.
- Revise los enlaces cuidadosamente colocando el cursor sobre el texto del enlace (sin hacer clic). Un enlace que es diferente del que está en el texto del enlace es un signo de un enlace malicioso.
- Esté atento a la mala ortografía y gramática, ya que esto puede ser una señal reveladora de que no es un mensaje legítimo.
Los correos electrónicos y mensajes de spear phishing están altamente dirigidos, por lo que vale la pena el esfuerzo del criminal para pasar tiempo haciéndolos parecer el verdadero negocio. Como tal, se están volviendo cada vez más sofisticados y difíciles de detectar. Puede que tenga que hacer varias verificaciones e incluso entonces, podrían tener todas las bases cubiertas.
Evite hacer clic en enlaces y archivos adjuntos
Como se mencionó anteriormente, los enlaces pueden conducir a sitios web que contienen malware, anuncios spam y rastreadores. Del mismo modo, un archivo adjunto puede contener virus o malware y nunca debe abrirse a menos que esté absolutamente seguro de la fuente.
Un correo electrónico falso de Walmart que contiene un enlace de phishing.
Algunos correos electrónicos solo contendrán un enlace o un archivo adjunto sin otro mensaje, posiblemente dirigido al sentido de curiosidad del lector para que haga clic.
¿El mejor consejo? Simplemente no haga clic en enlaces o archivos adjuntos si tiene alguna sospecha.
Esté atento a los sitios de phishing
Si hace clic en un enlace en un correo electrónico y termina yendo a un sitio web, puede hacer algunas verificaciones para detectar un impostor. Nuevamente, tenemos una publicación completa dedicada a detectar sitios web falsos, pero aquí están los principales indicadores:
- Comprueba la URL para ver si coincide con lo que está en la página.
- Busque un certificado SSL / TLS (un símbolo de candado verde y / o “https” en la barra de direcciones).
- Busque una página de navegación o pie de página, incluyendo una página “Acerca de”, política de privacidad, términos de uso o servicio, y detalles de contacto.
- Verifique la ortografía y la gramática adecuadas; Al igual que con los correos electrónicos, la mala redacción puede ser un indicador de un sitio falso.
- Tenga cuidado con las afirmaciones de “demasiado bueno para ser verdad”; a menudo son solo eso.
- Buscar en otro lugar para comentarios sobre empresas desconocidas.
- Revisa los derechos de autor está actualizado; si no, es probable que sea un sitio falso.
En otros casos, hacer clic en un enlace puede simplemente llevarlo a una página en blanco. Si ha hecho clic en un enlace y sospecha que puede haberse descargado malware, varias herramientas pueden detectarlo y eliminarlo.
Evita enviar información personal
Las empresas legítimas rara vez solicitan información personal por correo electrónico. Si recibe un correo electrónico o SMS pidiéndole que brinde detalles como su dirección, número de seguro social o información bancaria en el cuerpo de un correo electrónico o mensaje de texto, es muy probable que sea un intento de phishing.
Un correo electrónico genuino generalmente proporcionará la dirección de un sitio al que ir (sin enlace), proporcionará un enlace para hacer clic o le dará un número para llamar. Tener en cuenta, todos estos escenarios también podrían ser tácticas de phishing más sofisticadas, por lo que debe verificarse (más sobre eso a continuación).
Verificar solicitudes sospechosas
Si tiene sospechas sobre un correo electrónico u otro mensaje, no visite el sitio ni llame al número proporcionado. Si cree que puede ser auténtico pero no está seguro, puede intentar verificarlo primero.
Una forma de hacerlo es simplemente realizar una búsqueda del correo electrónico o número de teléfono proporcionado. Si se trata de una estafa conocida, es probable que vea resultados que indiquen tanto.
Otro método de verificación más confiable es simplemente llamar o enviar un correo electrónico a la compañía para verificar si se trata de una solicitud real. Sin embargo, deberías contactar a la empresa a través de un número de teléfono o correo electrónico desde su sitio web real, no la información de contacto encontrada en el correo electrónico.
Use contraseñas seguras y un administrador de contraseñas
Si sospecha que puede haber sido víctima de un intento de phishing o se le notifica como tal (por una fuente definitivamente confiable), entonces debería considerar cambiar su contraseña. Es importante utilizar una contraseña segura, ya que puede ayudar a prevenir otros ataques, como los ataques de fuerza bruta.
Si recordar contraseñas parece demasiado difícil, un administrador de contraseñas puede ayudar. Otro beneficio de estas herramientas es que puede ayudarlo a detectar un sitio de phishing de forma predeterminada. Los administradores de contraseñas funcionan al completar automáticamente su información en sitios conocidos, por lo que no funcionarán en dominios desconocidos (incluidos los falsos). Esto no es algo en lo que deba confiarse, pero puede actuar como respaldo.
Si alguna vez le piden que cambie una contraseña, nunca siga el enlace en el correo electrónico o mensaje de texto. Vaya directamente al sitio web y cámbielo allí. De esta manera, está cubierto si el mensaje es legítimo o no..
Relacionado: más de 70 estafas comunes (en línea y fuera de línea) y cómo evitarlas; Estafas de phishing comunes y cómo reconocerlas y evitarlas.
Crédito de la imagen principal: “Dardos” licenciado bajo CC BY 2.0
ue trabaja en tu empresa o en tu círculo social. El objetivo es siempre el mismo: obtener información personal o financiera que puedan utilizar para cometer fraude.
Ataques a empresas
Los ataques de phishing dirigidos a empresas son aún más peligrosos, ya que pueden tener consecuencias graves para la empresa y sus empleados. Los estafadores pueden hacerse pasar por un proveedor o un cliente, solicitando información confidencial o incluso transferencias de dinero. También pueden enviar correos electrónicos falsos que parecen provenir de la dirección de correo electrónico de un empleado de la empresa, solicitando información o incluso pidiendo que se realice una transferencia de dinero.
Es importante que las empresas tomen medidas para protegerse contra estos ataques, como la implementación de políticas de seguridad de correo electrónico y la capacitación de los empleados para reconocer y evitar los intentos de phishing.
En resumen, el phishing y el spear phishing son formas comunes de estafas en línea que pueden tener consecuencias graves para las víctimas. Es importante estar alerta y tomar medidas para protegerse contra estos ataques, como aumentar la conciencia, utilizar herramientas de defensa y verificar solicitudes sospechosas. Con la educación y la precaución adecuadas, podemos evitar convertirnos en la próxima víctima de phishing.