Los ataques de phishing son correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos diseñados para manipular personas para que descarguen malware, compartan información confidencial (p. ej., números de la seguridad social y tarjetas de crédito, números de cuentas bancarias, credenciales inicio de sesión), o realicen otras acciones que los exponga a ellos mismos o a sus organizaciones al ciberdelito.
Los ataques de phishing con éxito a menudo implican la usurpación de identidad, el fraude con tarjeta de crédito, ataques de ransomware, filtraciones de datos y enormes pérdidas financieras para las personas y las corporaciones.
El phishing es la forma más común de ingeniería social, la práctica de engañar, presionar o manipular a las personas para que envíen información o activos a personas indebidas. Los ataques de ingeniería social basan su éxito en tácticas de error humano y presión. El atacante normalmente se hace pasar por una persona u organización en la que la víctima confía (por ejemplo, un compañero de trabajo, un jefe, una compañía con la que la víctima o la empresa de la víctima tiene negocios) y crea una sensación de urgencia que lleva a la víctima a actuar precipitadamente. Los hackers utilizar estas tácticas porque es más fácil y menos costoso engañar a las personas que atacar un sistema o una red.
Según el FBI, los correos electrónicos de phishing son el método o vector de ataque más popular utilizado por los hackers para suministrar ransomware a personas y organizaciones. Y según el Informe del coste de una filtración de datos 2022 de IBM, el phishing es la cuarta causa más común y la segunda más costosa de las filtraciones de datos, con un coste medio para las empresas de 4,65 millones de USD por filtración.
Tipos de ataques de phishing
Correos electrónicos masivos de phishing
El phishing por correo electrónico masivo es el tipo más común de ataque de phishing. El estafador crea un mensaje de correo electrónico que parece que proviene de una empresa u organización legítima grande y conocida (un banco nacional o global, una gran tienda en línea, los creadores de una popular app o aplicación de software) y lo envía a millones de destinatarios. El phishing por correo electrónico es un juego de números: cuanto más grande o más popular sea el remitente suplantado, más destinatarios serán los posibles clientes, suscriptores o miembros.
El correo electrónico de phishing trata sobre un tema que el remitente suplantado podría enviar de manera creíble y apela a emociones fuertes (miedo, codicia, curiosidad, sentido de urgencia o premura) para obtener la atención del destinatario. Las líneas de asunto típicas incluyen ‘Actualice su perfil de usuario’, ‘Problema con su pedido’, ‘Sus documentos de cierre están listos para la firma’, ‘Se adjunta su factura’.
El cuerpo del correo electrónico insta al destinatario a realizar una acción que parece perfectamente razonable y coherente con el tema, pero como resultado el destinatario divulga información confidencial (números de la seguridad social, números de cuentas bancarias, números tarjetas de crédito, credenciales de inicio de sesión) o descarga un archivo que infecta el dispositivo o la red del destinatario. Por ejemplo, puede solicitarse a los destinatarios que ‘pulsen este enlace para actualizar su perfil’, pero el enlace los lleva a un sitio web falso, donde especifican sus credenciales inicio de sesión reales mientras aparentemente actualizan su perfil. O bien, se les puede pedir que abran un archivo adjunto que parece legítimo (p. ej., ‘factura20.xlsx’), pero que envía malware o código maligno al dispositivo o red del destinatario.
Suplantación de identidad
La suplantación de identidad es un ataque de phishing que se dirige a una persona específica, generalmente una persona que tiene acceso privilegiado a datos confidenciales o recursos red, o una autoridad especial que el estafador puede explotar con fines fraudulentos o maliciosos.
Un suplantador de identidad estudia su objetivo para recopilar la información necesaria para hacerse pasar por una persona o entidad en la que el objetivo realmente confía (un amigo, un jefe, un compañero de trabajo, un colega, un proveedor de confianza o una institución financiera) o para hacerse pasar por la persona objetivo. Las redes sociales y los sitios de interacción social, donde las personas felicitan públicamente a sus compañeros de trabajo, apoyan a colegas y proveedores, y tienden a compartir demasiada información sobre reuniones, eventos o planes de viaje, se han convertido en grandes fuentes de información para la investigación de suplantación de identidad.
Armado con esta información, el suplantador de identidad puede enviar enviar un mensaje que contenga información financiera o detalles personales específicos acompañado de una solicitud creíble para el objetivo como, por ejemplo, en ‘Sé que te vas esta noche de vacaciones, ¿puedes pagar hoy esta factura (o transferir XXX.XX USD a esta cuenta) antes del cierre de la oficina?’
Compromiso de correo electrónico de la empresa (BEC)
Algunos correos electrónicos de suplantación de identidad intentan recopilar aún más información, como preparación para un ataque a mayor escala. Por ejemplo, un mensaje de suplantación de identidad puede solicitar a un CEO que actualice las credenciales de su cuenta de correo electrónico que se han perdido durante un breve corte de energía, pero proporcionar un enlace a un sitio web falso malicioso diseñado para robar dichas credenciales. Con dichas credenciales, el atacante tiene acceso completo al buzón de correo del CEO. Puede estudiar los mensajes de correo electrónico del CEO para obtener aún más información y enviar un mensaje fraudulento convincente directamente desde la cuenta de correo electrónico del CEO utilizando la dirección de correo electrónico real del CEO.
Este es un ejemplo de compromiso de correo electrónico de empresa (BEC), un tipo particularmente peligroso de ataque de suplantación de identidad diseñado para engañar a los empleados de la compañía para que envíen grandes sumas de dinero o activos valiosos a un atacante. Los correos electrónicos de BEC se envían o parece que se envían desde las cuentas de correo electrónico de los miembros de más alto nivel de la empresa (o de asociados de alto nivel de la empresa, por ejemplo, abogados, business partners clave o grandes proveedores) y contienen detalles suficientes para parecer altamente creíbles.
La suplantación de identidad no es la única táctica para obtener la información necesaria para preparar un ataque BEC de éxito. Los hackers también pueden implementar malware o explotar las vulnerabilidades del sistema para obtener acceso a los datos de la cuenta de correo electrónico. O bien, si no pueden obtener acceso a los datos de la cuenta, los hackers pueden intentar suplantar la dirección del remitente utilizando una dirección de correo electrónico tan similar a su dirección real que el destinatario no nota la diferencia.
Independientemente de las tácticas, los ataques de BEC de éxito se encuentran entre los ciberataques más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que se hicieron pasar por un CEO convencieron al departamento de finanzas de su empresa para que transfiriera casi 50 millones de euros a una cuenta bancaria fraudulenta.
En Ickual podemos ayudarte a identificar y protegerte contra el phishing