El phishing es un tipo de delito cibernético en el que los delincuentes se hacen pasar por una fuente confiable en Internet para obligar a la víctima a proporcionarles información personal (por ejemplo, nombre de usuario, contraseña, número de tarjeta bancaria, etc.).
Un ataque de phishing puede adoptar muchas formas y, aunque a menudo se produce a través del correo electrónico, existen muchos métodos diferentes que utilizan los estafadores para llevar a cabo sus esquemas. Esto es especialmente cierto hoy en día, cuando el phishing continúa evolucionando, a veces sorprende por su sofisticación y grado de prevalencia. Si bien el objetivo de cualquier estafa de phishing es siempre robar información personal, existen muchos tipos diferentes de phishing que debe conocer.
1. Suplantación de identidad de correo
Quizás el tipo más común de phishing, a menudo utiliza una técnica de "rociar y rezar" mediante la cual los piratas informáticos se hacen pasar por una persona u organización legítima enviando correos electrónicos masivos a cualquier dirección de correo electrónico que tengan.
Dichos correos electrónicos contienen urgencia, por ejemplo, para informar al destinatario que su cuenta personal ha sido pirateada y, por lo tanto, debe responder de inmediato. Su propósito es desencadenar una acción precipitada pero definitiva de la víctima con su urgencia, como hacer clic en un enlace malicioso que conduce a una página de inicio de sesión falsa. Allí, al ingresar sus datos de registro, la víctima, desafortunadamente, transfiere su información personal directamente a las manos del estafador.
2. Spear Phishing
En lugar de utilizar la técnica de "rociar y orar" descrita anteriormente, la pesca submarina implica enviar correos electrónicos maliciosos a personas específicas dentro de una organización. En lugar de enviar correos electrónicos masivos a miles de destinatarios, este método se dirige a empleados específicos de empresas especialmente seleccionadas. Este tipo de correos electrónicos suelen ser más personalizados, ya que hacen que la víctima crea que tiene una relación con el remitente.
3. Caza de ballenas
La caza de ballenas es muy similar al spear phishing, pero en lugar de acosar a cualquier empleado de la empresa, los estafadores se dirigen específicamente a los ejecutivos (o "pez gordo", de ahí el término "caza de ballenas", que en inglés significa "caza de ballenas"). Estos empleados incluyen al CEO, CFO o cualquier ejecutivo senior que tenga acceso a datos más confidenciales que los empleados de nivel inferior. A menudo, estos correos electrónicos aprovechan una situación que puede poner a dichos ejecutivos bajo una gran presión para "enganchar" a posibles víctimas, por ejemplo, transmitiendo información sobre una demanda presentada contra la empresa.
4. Smishing
El phishing por SMS, o smishing, utiliza mensajes de texto en lugar de correo electrónico para llevar a cabo un ataque de phishing. El principio es el mismo que en un ataque de phishing por correo electrónico: un atacante envía un mensaje de texto de un remitente aparentemente legítimo (por ejemplo, una empresa confiable) que contiene un enlace malicioso. El enlace puede disfrazarse como un código de cupón (¡20% de descuento en su próximo pedido!) O una oferta para ganar algo como entradas para un concierto.
5. Vishing
Vishing, también conocido como phishing de voz, es similar a smishing en que el teléfono se usa como medio de ataque , pero en lugar de usar mensajes de texto, el ataque se lleva a cabo con una llamada telefónica. Una llamada vishing a menudo transmite un mensaje de voz automatizado supuestamente de una organización legítima (por ejemplo, su banco o agencia gubernamental).
Los atacantes pueden afirmar que debe una gran cantidad de dinero, que el seguro de su automóvil ha vencido o que su tarjeta de crédito tiene actividad sospechosa que debe corregirse de inmediato. En este punto, generalmente se le dice a la víctima que debe proporcionar información personal, como credenciales de tarjeta de crédito o número de seguro social, para verificar su identidad, antes de recibir más información y tomar cualquier medida.
6. Compromiso del correo electrónico empresarial (BCO, fraude del CEO, compromiso del correo electrónico corporativo)
La estafa de CEO es una forma de phishing en la que un atacante obtiene acceso a la cuenta de correo electrónico de un ejecutivo senior (como el CEO). Con una cuenta comprometida a su disposición, un ciberdelincuente que se hace pasar por el CEO envía correos electrónicos a los empleados de la organización con el objetivo de realizar una transferencia bancaria fraudulenta o realizar una serie de otras actividades ilegales.
7. Clonar suplantación de identidad
Si alguna vez recibió un correo electrónico legítimo de una empresa legítima, y después de un tiempo recibió lo que parecería ser el mismo mensaje, entonces ha sido testigo de la clonación del phishing en acción. Esta técnica de phishing funciona mediante la creación de una copia maliciosa de un mensaje recibido recientemente de un remitente legítimo, que supuestamente es reenviado desde un aparentemente mismo remitente legítimo. Todos los enlaces o archivos adjuntos del correo electrónico original se reemplazan por otros maliciosos. Los atacantes suelen utilizar la excusa para reenviar el mensaje porque el correo electrónico original contenía enlaces o archivos adjuntos incorrectos.
8. Evil Twin Phishing
El tipo de ataque de phishing de Evil Twin implica la creación de una copia de una red WiFi legítima , que en realidad atrae a las víctimas que se conectan a ella a un sitio especial de phishing. Una vez que las víctimas llegan a este sitio, generalmente se les solicita que ingresen sus datos personales, como las credenciales de inicio de sesión, que luego se transmiten directamente al pirata informático. Una vez que un pirata informático recibe estos datos, puede ingresar a la red, tomar el control de ella, monitorear el tráfico no cifrado y encontrar formas de robar información y datos confidenciales.
9. Phishing en redes sociales
El phishing en las redes sociales implica el uso de Facebook, Instagram y Twitter para obtener datos confidenciales de las víctimas o para atraerlas a hacer clic en ciertos enlaces maliciosos. Los piratas informáticos pueden crear cuentas falsas haciéndose pasar por alguien que conocen de la víctima para atraerlos a su trampa, o incluso pueden hacerse pasar por una cuenta de servicio al cliente de una empresa conocida para cazar víctimas que recurren a esa empresa en busca de apoyo. .
10. Phishing en motores de búsqueda
Cuando se utiliza el phishing en los motores de búsqueda, los piratas informáticos crean su propio sitio web y lo indexan en motores de búsqueda legítimos. Estos sitios a menudo ofrecen productos baratos y ofertas increíblemente tentadoras que intentan atraer a compradores en línea desprevenidos que ven el sitio en la página de resultados de búsqueda de Google u otros motores de búsqueda.
Si la víctima hace clic en un enlace en un motor de búsqueda para ir a dicho sitio, entonces, como regla, se le pide que registre una cuenta o ingrese la información de su cuenta bancaria para completar la compra. Por supuesto, los estafadores luego roban estos datos personales para usarlos para obtener más ganancias financieras.
No hay comentarios:
Publicar un comentario