¿Qué es el phishing?¿Cómo defenderse?

que es phishing

Ataques de phishing y cómo evitarlos

El phishing sigue siendo una de las formas más baratas y fáciles para que los ciberdelincuentes obtengan acceso a información confidencial.

Simplemente haciendo clic en un enlace, las víctimas pueden poner en peligro la seguridad de su empresa y correr el riesgo de robo de identidad.

También pueden comprometer su información personal, credenciales de inicio de sesión, como nombres de usuario y contraseñas, e información financiera, incluidos los números de tarjetas de crédito.

Esta página brinda una descripción general del phishing y explica cómo la capacitación en concientización sobre seguridad puede ayudarlo a evitar ser víctima.

¿Qué es el phishing?

El phishing es un tipo de ataque de ingeniería social en el que los ciberdelincuentes engañan a las víctimas para que entreguen información confidencial o instalen malware.

La mayoría de las veces lo hacen a través de correos electrónicos maliciosos que parecen ser de remitentes confiables, pero a veces usan otros medios, que se explican a continuación.ónicos maliciosos y otras amenazas de phishing.

phishing sobre

¿Cómo funciona el phishing?

La mayoría de las campañas de phishing emplean uno de dos métodos básicos:

Archivos adjuntos maliciosos

Los archivos adjuntos de correo electrónico maliciosos, que generalmente tienen nombres atractivos, como «FACTURA», instalan malware en el dispositivo de las víctimas cuando lo abren.

Enlaces a sitios web maliciosos

Los enlaces maliciosos apuntan a sitios web que a menudo son clones de los legítimos, que descargan malware o cuyas páginas de inicio de sesión contienen secuencias de comandos de recolección de credenciales.

Tipos de sitios web de phishing

Hay muchos tipos de sitios web maliciosos, que incluyen:

Pharming/envenenamiento de caché de DNS

Los ataques de pharming redirigen el tráfico de un sitio web a un sitio malicioso que se hace pasar por él al explotar vulnerabilidades en el sistema que hace coincidir los nombres de dominio (la URL que ingresa en la barra de direcciones de su navegador) con las direcciones IP (la cadena de números asignados a cada dispositivo conectado a una red ).

Typosquatting/secuestro de URL

Las URL de estos sitios web falsos parecen genuinas, pero son sutilmente diferentes de las que suplantan.

Su objetivo es aprovechar los errores de escritura cuando los usuarios ingresan URL en la barra de direcciones de su navegador.

Por ejemplo, podrían:

Escribir mal la URL legítima;

Usando letras que estén una al lado de la otra en el teclado, como ‘n’ en lugar de ‘m’;

Intercambia dos letras o añaden una letra adiccional

Los atacantes usan múltiples capas transparentes para colocar contenido malicioso en el que se puede hacer clic sobre botones legítimos.

Por ejemplo, un comprador en línea podría pensar que está haciendo clic en un botón para realizar una compra, pero en su lugar descargará malware.

Tabnabbing y tabnabbing inverso

En estos ataques, las pestañas del navegador desatendidas se reescriben con sitios maliciosos. Los usuarios desprevenidos que regresan a la pestaña pueden no notar que la página no es legítima.

Ataques de phishing dirigidos

La mayoría de los correos electrónicos de phishing se envían al azar a un gran número de destinatarios y dependen de la gran cantidad de números para tener éxito. (Cuantos más correos electrónicos se envían, más probable es que encuentren una víctima que los abra).

Sin embargo, también hay muchos tipos de ataques, conocidos como spear phishing, que se dirigen a organizaciones o individuos específicos. Al igual que con las campañas de phishing más amplias, los correos electrónicos pueden contener enlaces o archivos adjuntos maliciosos.

Estos tipos incluyen:

phishing en sobre

Suplantación de identidad de clones

Una copia de un correo electrónico legítimo que se entregó anteriormente, pero que se envió desde una dirección falsa que se parece mucho a la dirección de correo electrónico del remitente original.

La única diferencia entre este y el correo electrónico original es que los enlaces y/o archivos adjuntos habrán sido reemplazados por otros maliciosos.

Es más probable que los destinatarios caigan en este tipo de ataque, ya que reconocen el contenido del correo electrónico.

Fraude ballenero/CEO

Un tipo de phishing dirigido que se dirige a personas de alto perfil, como miembros de la junta o miembros del equipo financiero.

Estos ataques requieren un esfuerzo adicional por parte del atacante, pero las recompensas son potencialmente mayores: los directores ejecutivos y otros ejecutivos de alto nivel tienen más información y mayores niveles de acceso que los empleados junior.

Además, la cuenta comprometida de un miembro del personal senior puede usarse para llevar a cabo ataques BEC.

BEC (compromiso de correo electrónico comercial)

Estos correos electrónicos a menudo toman la forma de solicitudes «urgentes» que pretenden ser del personal superior, como el director ejecutivo o el director financiero.

Utilizan tácticas de ingeniería social para engañar a los miembros del personal más subalternos para que transfieran dinero al destinatario equivocado o divulguen información comercial confidencial.

Cómo identificar correos electrónicos de phishing

Según el informe State of the Phish de 2019 de Proofpoint, el 83 % de los profesionales de seguridad de la información sufrieron ataques en 2018, frente al 76 % en 2017.

Incluso si su organización tiene fuertes medidas de seguridad técnica, algunos correos electrónicos de phishing inevitablemente se filtrarán.

Por lo tanto, es fundamental que todos los empleados puedan reconocerlos. Las cosas a tener en cuenta incluyen:

Dominios de correo electrónico público

Nombres de dominio mal escritos

Mala gramática y ortografía

Archivos adjuntos/enlaces sospechosos

Sensación de urgencia

Cómo mitigar los ataques de phishing

Implementar las medidas técnicas apropiadas

Use prácticas sólidas de seguridad cibernética para evitar que la mayor cantidad posible de ataques de phishing atraviesen sus defensas y asegúrese de que, si tienen éxito, no lleguen mucho más lejos.

Construir una cultura de seguridad positiva

Reconoce que la ingeniería social tiene éxito porque sus perpetradores son buenos en la manipulación.

No castigue al personal por ser víctima, pero aliéntelos a reportar incidentes.

Si existe una cultura de la culpa, sus empleados no admitirán lo que se percibe como un error, lo que pondrá a su organización en un riesgo mucho mayor.

como evitar el phishing

Aprende los disparadores psicológicos

Todos los ataques de ingeniería social explotan la psicología humana para superar la cautela natural de las víctimas, como:

Crear una falsa sensación de urgencia y una emoción intensificada para confundir a sus víctimas;

Explotar la propensión humana a la reciprocidad creando un sentido de endeudamiento.

Confiar en respuestas condicionadas a la autoridad al dar la impresión de emitir órdenes de figuras superiores.

Capacite a su personal

Cualquier miembro del personal puede sucumbir a un ataque de phishing, por lo que todos los empleados deben ser conscientes de la amenaza a la que se enfrentan.

La capacitación regular de concientización del personal ayudará a todos en la organización a comprender los signos de un ataque de phishing y sus posibles consecuencias.

Luego podrán informar sobre posibles correos electrónicos de phishing, de acuerdo con la política de la empresa.

Probar la efectividad del entrenamiento.

Los ataques de phishing simulados lo ayudarán a determinar la efectividad de la capacitación de concientización del personal y qué empleados podrían necesitar más educación.

Deja un comentario

En esta página hablamos de todo lo que tiene que ver con los virus y amenazas que existen o han existido, la forma de reconocerlos y eliminarlos.

Contactar

puedes rellenar el formulario

Aqui