El phishing se puede realizar a través de cualquier medio de comunicación. Algunos de los tipos más comunes de phishing incluyen:
Cuando la mayoría de la gente piensa en phishing, piensa en correos electrónicos. El phishing por correo electrónico se divide en varios tipos:
Los ataques de phishing de voz consisten en llamar a la víctima e intentar persuadirla para que realice una acción. La persona que llama puede hacerse pasar por una agencia de cobro que consulta una factura impaga, o alguien de "soporte técnico" que necesita acceso a la computadora del usuario.
En un ataque de phishing por SMS, la parte malintencionada enviará un mensaje de texto pidiéndole a la víctima que haga clic en un enlace o responda al mensaje. Estos ataques a menudo copian el tipo de mensaje SMS que una persona recibiría de un servicio de mensajería o un sitio web gubernamental, incluso replicando el número desde el que se envió.
Los ataques de secuestro de páginas consisten en que el atacante clona un sitio web y dirige a la víctima a él. Esto podría ser un ataque amplio en el que intentan generar mucho tráfico a la página falsa a través de publicidad de pago, o un ataque dirigido en el que el secuestro de la página se combina con otras formas de phishing.
Este ataque aprovecha los ajustes predeterminados del calendario mal configurados para colocar enlaces de phishing en los calendarios en línea de los usuarios. Muchas personas están capacitadas para estar atentas a los enlaces de phishing en sus correos electrónicos, pero es posible que no sepan que también es posible insertar enlaces maliciosos en sus calendarios, lo que les da a estos ataques una probabilidad relativamente alta de éxito.
La forma en que se entregan los mensajes es solo una parte del phishing. También es importante estar al tanto de cómo funciona la estafa. Los correos electrónicos de phishing que tienen éxito emplean varias técnicas para eludir los filtros del correo electrónico y engañar al destinatario para que haga clic en el enlace o realice la acción deseada.
La manipulación de enlaces se utiliza para hacer que los enlaces de un correo electrónico se parezcan a la dirección del sitio web que el atacante está suplantando. Sin embargo, cuando el usuario hace clic en el enlace, lo lleva al sitio web del atacante. Algunos delincuentes van un paso más allá y utilizan caracteres inusuales o direcciones largas y complejas para engañar a los usuarios que pueden no entender la diferencia entre un dominio de nivel superior y un subdominio.
Los atacantes suelen utilizar imágenes para eludir los filtros de phishing y spam. Las plataformas de correo electrónico y el software a menudo tienen filtros para bloquear el spam y los correos electrónicos maliciosos, pero estos filtros no siempre son buenos para procesar imágenes.
La práctica de la ingeniería social implica identificar a las víctimas y generar confianza. Por ejemplo, si alguien cae en la primera fase de un ataque de phishing y responde a un correo electrónico, el atacante le pedirá gradualmente que entregue información personal, utilizando excusas plausibles de por qué necesita cada pago, en lugar de exigirlo todo de una vez.
Los intentos de phishing pueden variar desde mensajes de correo electrónico relativamente mal construidos, llenos de errores ortográficos, de puntuación y gramaticales, hasta mensajes cuidadosamente elaborados y muy específicos. Algunas cosas comunes a tener en cuenta incluyen:
Las empresas que buscan protegerse de los ataques de phishing dirigidos específicamente deben plantearse una serie de medidas de precaución, como mejorar sus políticas de seguridad y capacitar al personal para detectar y evitar ataques cibernéticos. Algunas precauciones útiles incluyen:
Habilite el filtrado agresivo de correo electrónico y la redacción de contenido a nivel de red si es posible. Bloquear el malware conocido o los sitios de seguimiento puede contribuir en gran medida a reducir las amenazas de phishing. Considere la posibilidad de mostrar una advertencia en todos los correos electrónicos que provengan de una dirección que no esté en la libreta de direcciones del usuario.
Utilice un navegador configurado para mostrar una alerta si el usuario es dirigido a un sitio web no seguro o a un sitio web de phishing conocido. Asegúrese de que los usuarios no puedan deshabilitar u omitir estas alertas.
Utilice funciones de seguridad adicionales además de los inicios de sesión con contraseña. Por ejemplo, la seguridad biométrica se puede emplear para sistemas importantes. Además, el uso de "imágenes de confianza" como parte del proceso de inicio de sesión puede alertar a los usuarios sobre la posibilidad de que estén en un sitio de phishing.
Habilitar MFA para sistemas importantes puede reducir el riesgo de phishing y otras formas de ciberataques. Considere la posibilidad de utilizar un autenticador de hardware en lugar de la autenticación de dos factores basada en SMS, ya que la autenticación por SMS puede eludirse mediante ataques de intercambio de SIM.
Los ataques de phishing a empresas pueden ser increíblemente costosos, especialmente si proporcionan una ruta para que los atacantes infecten su red con ransomware. Descubra cómo Veeam puede ayudarle a proteger los datos vitales de su empresa con soluciones de backup y recuperación y protección contra ransomware.