El phishing es el tipo de ciberataque más destructivo. Aunque puedes detener algunos intentos de phishing con tus herramientas de seguridad, es casi inevitable que algunos alcancen sus objetivos.

Esto significa que educar a tu personal tiene que ser un elemento clave en cualquier estrategia de defensa contra el phishing.

Cuando un usuario recibe un correo electrónico pidiéndole que transfiriera fondos a una cuenta y no lo duda. Si encima tenía mucho trabajo y no había nada que hiciera pensar que el correo electrónico tuviera algo de malo.

Si se hubiera detenido a inspeccionar el correo electrónico un poco más de cerca, tal vez habría detectado las diversas incoherencias. O tal vez habría hecho una llamada para comprobar las instrucciones de la transferencia.

Pero no lo hizo, y se convirtió en una víctima más de un ataque de phishing selectivo.

En Aselcom te contamos qué es el phishing y cuales son las banderas rojas  que debes conocer.

¿Qué es el phishing?

El phishing es el proceso mediante el cual los hackers malintencionados intentan obtener información sensible de sus usuarios. Buscan credenciales financieras, detalles de inicio de sesión y contraseñas, y otros datos explotables o vendibles.

Buscan esta información disfrazando su estafa como correos electrónicos, mensajes o sitios web aparentemente fiables que incitan a los destinatarios a entregar voluntariamente información sensible.

Es posible evitar que algunos de estos intentos de phishing malintencionado lleguen a sus destinatarios mediante una buena gestión informática: manteniendo actualizados los sistemas operativos, los navegadores y otras versiones de software, y eligiendo herramientas eficaces de detección de malware, antivirus y correo electrónico.

Sin embargo, a medida que los estafadores se vuelven más selectivos y sofisticados en sus vectores de ataque, es difícil que incluso las mejores herramientas de seguridad informática estén a la altura. Además, el riesgo de amenaza ha aumentado aún más durante la pandemia de coronavirus, ya que los atacantes se aprovechan del miedo y el deseo de información de la gente para explotarlo en su propio beneficio económico. En consecuencia, la educación del personal sobre los posibles vectores de ataque de phishing debe ser un pilar fundamental de su estrategia de defensa contra el phishing.

Las banderas rojas del phishing que su personal debe conocer

La mejor manera de proteger a su personal contra los ataques de phishing es darles las herramientas necesarias para que puedan detectar posibles ataques. Combinando esto con un mecanismo de notificación cuando detectas algo sospechoso y podrás contener la mayoría de los ataques.

Analizamos las diez señales de alarma vitales que deberían hacer que tu personal haga sonar las alarmas de posibles ataques de phishing.

1. Correos electrónicos que solicitan credenciales de acceso o información de facturación

Cuando el phishing comenzó en la década de 1990, los hackers se dirigieron a los clientes de AOL de forma aleatoria y masiva para enviar correos electrónicos que pedían a los usuarios que “verificaran” sus cuentas. Es un enfoque que funciona tan bien que todavía se utiliza hoy en día.

En lugar de hacerse pasar por AOL, los hackers actuales utilizan la información obtenida de las violaciones de datos para hacerse pasar por un servicio que usted utiliza, como Adobe o PayPal. En agosto de 2014, los usuarios de iCloud fueron atacados con correos electrónicos que parecían alertas legítimas de Apple. Estos correos advertían a los destinatarios de que sus cuentas podían haber sido comprometidas y les pedían que introdujeran los datos de su cuenta. La estafa dio lugar a la filtración de 500 fotos privadas de celebridades.

Si recibes un correo electrónico pidiéndote que introduzcas los datos de acceso, desconfía; no hagas clic en los enlaces que contiene el correo. En lugar de ello, confirme el mensaje a través de una fuente alternativa.

2. Errores ortográficos y mal diseño

A menudo, pero no siempre, los intentos de phishing no dan en el blanco.

Las faltas de ortografía y los logotipos borrosos han sido históricamente un indicador de los intentos de phishing. A medida que los ataques se han vuelto más sofisticados, esto no es tan evidente como antes, pero aún así vale la pena prestar atención.

3. Un servicio que utilizas ha sido recientemente objeto de una violación de datos

Cuando tus datos han sido robados, corres un mayor riesgo de sufrir intentos de phishing.

Existe un enorme mercado negro de datos robados en la web oscura. Los piratas informáticos pueden reunir información para desarrollar campañas de phishing selectivo convincentes, especialmente si estos datos se complementan con la información que usted ya ha compartido libremente en las redes sociales.

Si sabes que una organización a la que estás suscrito ha sido víctima de una filtración de datos, vale la pena que seas más cauteloso con los correos electrónicos no solicitados que recibas. Por ejemplo, la violación de datos de Equifax en septiembre de 2017 y la de Carphone Warehouse expusieron a millones de personas a este tipo de riesgo, así como Travelex a principios de 2020.

4. Un acuerdo parece demasiado bueno para ser verdad

En agosto de 2017, los clientes de Amazon se alegraron de recibir notificaciones sobre ofertas promocionales del Prime Day. Sin embargo, no todo era lo que parecía.

Los piratas informáticos habían enviado miles de correos electrónicos en los que se pedía a los destinatarios que compraran ofertas por tiempo limitado. Cuando hacían clic en los enlaces, la transacción no podía completarse y se pedía a las víctimas que introdujeran sus datos de acceso o de pago. Los que lo hacían lo ponían directamente en manos de los phishers.

En marzo de 2018, investigadores de seguridad en Internet encontraron kits de phishing disponibles para la venta en la web oscura que imitan elementos de marca de empresas conocidas. Estos kits facilitan a los hackers la creación de correos electrónicos de phishing convincentes.

Y no sólo hay que tener cuidado con los correos electrónicos. Los hackers también utilizan los anuncios de los sitios web para ofrecer ofertas tentadoras que invitan a hacer clic en los enlaces. Los sitios de phishing capturarán sus datos financieros cuando intente “comprar” algo en el sitio web. Los investigadores han descubierto que a menudo se hacen pasar por tiendas e incluso bancos.

5. Recibes un mensaje de “buzón de voz perdido”

Ahora que los servicios de centralita y correo electrónico en línea están integrados en muchas empresas, un método que ha tenido un éxito peligroso utilizado por los hackers ha sido el de imitar los archivos del buzón de voz.

La red de bots Necurs es una herramienta que utiliza este método. Una vez que las víctimas descargan el archivo adjunto del “correo de voz”, éste instala un ransomware u otro malware en el dispositivo de la víctima. A menudo, el archivo adjunto contiene otro correo electrónico que contiene el verdadero intento de phishing.

El éxito de este método ha sido tal que los hackers están ampliando su perfil de ataque, enviando también archivos a través de SMS y otras herramientas de mensajería. Ten cuidado cuando recibas cualquier archivo de “correo de voz”: si hay otra forma de escuchar el mensaje, utilízala.

6. Te envían un enlace web

Nunca hagas clic a ciegas en un enlace web o en un enlace a una aplicación como YouTube o Messenger. Es una buena práctica comprobar cualquier enlace web que recibas; sea de quien sea y como sea que lo recibas.

Facebook Messenger y los mensajes de texto SMS son los nuevos campos de batalla para este tipo de ataques de phishing.

7. Recibes un correo electrónico con tu contraseña

Una empresa legítima nunca incluiría los detalles de tu contraseña en su comunicación contigo, por lo que si aparece una contraseña en un mensaje, esto debería hacer saltar inmediatamente las alarmas, incluso si es una contraseña que reconoces.

Desafortunadamente, hoy en día hay tantos datos disponibles en la web oscura, que el uso de contraseñas hackeadas para dar más credibilidad a un intento de phishing es ahora un enfoque establecido.

En julio de 2018, una campaña de phishing de “sextorsión” generalizada utilizó este enfoque para extorsionar a los destinatarios involuntarios – con versiones de esta estafa que siguen ocurriendo en el último año.

8. Recibes un correo electrónico de alguien de tu propia empresa, pero el tono no es el adecuado

Una técnica probada para los ataques de phishing por correo electrónico a empresas consiste en aprovechar el correo electrónico de la empresa para hacerse pasar por un compañero de trabajo. Una vez que el atacante se ha ganado tu confianza, te invitará a hacer clic en un enlace malicioso, a enviar una transferencia bancaria o a compartir información sensible.

Si recibes un correo electrónico de un colega del trabajo que parece fuera de lugar, haz un seguimiento con una rápida llamada telefónica antes de actuar.

9. Te ofrecen opciones inesperadas de redes Wi-Fi

Algunos hackers se hacen pasar por redes Wi-Fi.

Ten cuidado si te conectas en un espacio público y comprueba dos veces que te estás conectando al dominio correcto. Si te conectas accidentalmente a través de la red suplantada por los hackers, éstos podrán recoger cualquier dato que introduzcas durante esa sesión de navegación e incluso pueden comprometer tu dispositivo.

Asegúrate de comprobar en la cafetería o en el hotel cuál es su nombre de Wi-Fi, o utiliza tu móvil como Hotspot en su lugar.

10. Cuidado con las redes sociales

Los ataques de phishing que utilizan las redes sociales van en aumento. Los ataques de phishing que aprovechan el intercambio social tienen una tasa de éxito muy alta: si crees que tu amigo está respaldando un mensaje, es mucho más probable que hagas clic en él.

Algunos usuarios de Facebook han sido víctimas de archivos adjuntos en formato SVG que redirigen a la víctima a una página falsa de YouTube que luego les pide que instalen dos extensiones de Chrome para poder ver el vídeo.

El volumen de información sobre ti disponible en LinkedIn hace que esta red social sea un recurso clave para los atacantes de phishing. Es una forma útil de identificar a las víctimas potenciales. Los phishers utilizan entonces la plataforma para enviar comunicaciones de phishing estándar a través de InMail o a la dirección de correo electrónico registrada de la víctima.

Sólo porque recibas un mensaje en una plataforma de confianza, no debes asumir que el contenido no necesita ser considerado.