Cómo prevenir un ataque de phishing: cómo identificar los tipos de phishing, ejemplos.Se requiere hacer un clic en un enlace para poner los datos de una organización en riesgo de una violación.
Los ataques de phishing a menudo se disfrazan de personas en las que confiamos, reduciendo así nuestras defensas. Ninguna industria está a salvo de la amenaza de los ciberataques .
Las empresas se convierten en objetivos principales debido a la cantidad de datos confidenciales que almacenan. Es vital entender cómo identificar el phishing . Lea este artículo para obtener más información sobre los tipos de ataques de phishing y las tácticas de protección con ejemplos.
¿Qué es un ataque de phishing? Una definición
El término phishing define los intentos de terceros para obtener acceso a información privada sobre los usuarios. Los piratas informáticos buscan contraseñas, números de tarjetas de crédito, información de cuentas bancarias o cualquier información que pueda utilizarse para acceder a los datos.
La mayoría de las campañas de phishing exitosas finalizan cuando el usuario descarga malware en su sistema.
¿Cómo funcionan los ataques de phishing?
Por lo general, el phishing implica lanzar una red tan amplia como sea posible con la esperanza de que algunas personas se coman el anzuelo. Los atacantes recurren a métodos más específicos cuando persiguen compañías individuales. También buscan atar a individuos específicos con acceso a información valiosa.
Los hechos detrás del phishing
Un informe del Grupo de trabajo contra el phishing (APWG) mostró que las empresas que respondieron a su encuesta experimentaron un flujo constante de estafas de phishing durante la primera mitad de 2018. Los sectores empresariales más específicos fueron:
- Proveedores de pago
- Instituciones financieras
- SAAS / Webmail
- Almacenamiento en la nube / Alojamiento en la nube
- Métodos populares de phishing
Las respuestas a la encuesta APWG mostraron que los métodos a continuación se utilizan más:
- Correos electrónicos : la herramienta más popular para los atacantes con un promedio de 98.723 por mes.
- Sitios web : los intentos de usar este método promediaron 48,516 por mes.
- URL de phishing : se promediaron alrededor de 18,113 intentos por mes.
Los piratas informáticos apuntaron a un pequeño número de marcas con un promedio de 443 veces por mes. PhishLabs, colaborador de APWG, notó un aumento en los sitios de alojamiento web gratuito que se utilizan para crear sitios web maliciosos. Hacen esto para dar credibilidad al sitio que se está construyendo con un proveedor establecido.
El 76% de las empresas experimentaron algún tipo de ataque de phishing . Esa cifra aumentó en el primer trimestre de 2018 al 81% para las empresas estadounidenses. Las empresas registraron un aumento en las infecciones de malware del 49%, frente al 27% en 2017.
Otras estadísticas de seguridad sugieren que el spishing phishing representó el 53% de las campañas de phishing en todo el mundo. Ese número subió al 57% para los Estados Unidos. Las llamadas telefónicas y los mensajes de texto, por otro lado, representaron el 45% de los intentos de phishing en todo el mundo.
Las cosas han recorrido un largo camino desde los días de los correos electrónicos de estafa del príncipe nigeriano. Los piratas informáticos utilizan métodos de correo electrónico de phishing más sofisticados.
Vienen con logotipos comerciales robados o alterados para engañar al destinatario. O se infiltran en las plataformas de redes sociales, disfrazándose de amigos o de alguien que comparte sus intereses.
Tipos comunes de ataques de phishing y cómo identificar
Email Phishing
El correo electrónico sigue siendo una opción popular para la mayoría de los atacantes. Imitan a una marca o institución popular que se comunica con usted para ayudarlo a resolver un problema. La comunicación de aspecto oficial le pide que confirme una contraseña u otra información de cuenta.
Los correos electrónicos de phishing más sofisticados y engañosos hacen que la dirección del remitente coincida con la de las personas o empresas con las que se comunica regularmente. Contienen archivos adjuntos maliciosos o enlaces diseñados para enviar malware a su dispositivo.
Ataques de phishing con lanza
Los atacantes cibernéticos utilizan esta técnica de phishing para dirigirse a empresas particulares. Van más allá del envío de correos electrónicos masivos o la cobertura de sitios al azar con anuncios. Ellos adaptan sus esfuerzos a las personas que trabajan en una industria que encuentran valiosa.
Target se convirtió en víctima de un ataque de phishing cuando se robó información sobre casi 40 millones de clientes durante un ataque cibernético. Los hackers persiguieron a un proveedor de terceros utilizado por la empresa. Capturaron sus credenciales y las utilizaron para acceder a la información del cliente desde una base de datos utilizando el malware descargado de un archivo adjunto malicioso.
Ballenero
John Podesta, el presidente de la campaña presidencial de Hillary Clinton, se enteró de la caza de ballenas por el camino difícil. Su cuenta recibió un correo electrónico que pretendía ser una alerta de Google que le informaba que su sistema había sido comprometido. Era urgente que sus credenciales se restablecieran de inmediato en el enlace proporcionado.
Su asistente hizo justo eso después de recibir información errónea de su persona de TI que era legítima. Eso es todo lo que se necesitó para que el spyware malicioso se lanzara a sus sistemas. Miles de documentos y correos electrónicos fueron robados por hackers rusos.
Los ataques de caza de ballenas apuntan a ejecutivos de alto nivel con credenciales que les dan acceso a una amplia gama de información. Factores como el error humano y los malos consejos juegan un papel importante en el éxito de este tipo de ataques.
Phishing clon
La clonación implica imitar a un sitio de confianza que un usuario frecuenta. Las personas reciben correos electrónicos advirtiéndoles sobre un problema con su cuenta. Los hackers crean un sitio web malicioso completo que se parece al que el usuario inicia sesión con regularidad.
Los atacantes esperan engañar a los usuarios para que les proporcionen credenciales personales. Muchos usuarios de Reddit fueron víctimas de clonación de phishing. Un clon del sitio apareció con la aparente intención de engañar a las personas para que pensaran que estaban iniciando sesión en el sitio regular de Reddit.
Phishing por teléfono y texto
No todos los ataques vienen por internet. Muchas empresas utilizan mensajes de voz automatizados para alertar a las personas sobre cosas como una próxima cita con un médico. Los piratas informáticos usan este método para dejar que los correos de voz le adviertan sobre un problema. Pueden hacer referencia a su cuenta bancaria o a una compañía de la que haya obtenido servicios.
Los hackers emplean métodos similares utilizando mensajes de texto. Esto les permite enviarle enlaces maliciosos que lo dirigen a un sitio web de phishing. Una vez que llegas allí, enmascaran la barra de direcciones con una imagen de una URL real para engañarte y hacerte creer que estás en un sitio real.
Medios de comunicación social
Los ataques de phishing tienden a perseguir una gran cantidad de objetivos en plataformas como Facebook u otros sitios de medios sociales favoritos. Recibe una solicitud de un amigo que le pide que responda a una prueba. Hace preguntas como «¿Cuáles son tus lugares de vacaciones favoritos cerca de casa?» O algo igualmente inocuo.
La información que usted da puede parecer nada. Puede consultar dónde vive y los lugares que le gusta visitar. Los piratas informáticos solo necesitan una pequeña cantidad de datos para obtener más información sobre usted. Eso es suficiente para averiguar sus contraseñas y hackear sus cuentas.
Los ladrones utilizan las imágenes publicadas en su cuenta de Instagram o Snapchat como fuentes de información. Los funcionarios coreanos en los Juegos de Invierno de 2018 advirtieron a las personas que no publiquen fotos de sus boletos ya que contenían un código de barras. Los hackers pueden escanear las imágenes y capturar todos sus datos personales.
Sitios web fraudulentos
Los hackers construyen sitios de phishing falsos diseñados para robar su información. Por ejemplo, las personas que buscan un sitio que les permite actualizar un pasaporte se dejan engañar por una página de inicio de sesión que parece legítima. Las credenciales que ingresan se utilizan para comprometer otras cuentas personales.
Los estafadores también atraen a los visitantes a estos sitios al crear anuncios falsos en sitios como Google o Craigslist. Los usuarios de Bitcoin engañados por anuncios falsos en Google han sido víctimas frecuentes de robo en los últimos meses. El problema se puso tan grave que recientemente Facebook prohibió todos los anuncios relacionados con las criptomonedas de su sitio.
Anuncios falsos
Los sitios web generan una cantidad significativa de ingresos al diseñar anuncios que llaman su atención. Los piratas informáticos utilizan esto para su ventaja al incrustar estos anuncios con malware. Al hacer clic en los anuncios, el software puede integrarse en su sistema e ir a trabajar.
Cómo prevenir el phishing
Solo se necesita un momento de falta de atención para que usted o su empresa sean víctimas de robo de identidad. Si bien no existe una manera fácil de prevenir el phishing, un enfoque múltiple para combatir la amenaza puede minimizar el riesgo.
1. Proteja su bandeja de entrada
La mejor defensa es un buen ataque. Evite que los correos electrónicos potencialmente dañinos ingresen a las bandejas de entrada de la empresa mediante el uso de fuertes filtros de correo no deseado y siguiendo las mejores prácticas de seguridad del correo electrónico . La mayoría de las compañías de software de seguridad ofrecen versiones compatibles con computadoras y dispositivos móviles.
Su software debería escanear automáticamente cualquier enlace o archivo adjunto. Esto evita que las URL nuevas o irreconocibles sigan ocultando las garantías de la compañía. Nuevas amenazas a la seguridad de la red informática aparecen cada día. Los hackers también trabajan continuamente para evolucionar y ocultar malware. Mantener su software actualizado y funcionando continuamente es esencial.
2. Analizar el tráfico web
A los atacantes les encanta encontrar puntos vulnerables cuando los usuarios acceden a cuentas personales en las computadoras de su trabajo. Compruebe cualquier intento de acceso a sitios web o servidores de correo electrónico que no sean de la empresa. No es bueno tener seguridad de alto nivel en una cuenta de correo electrónico del trabajo, solo que alguien descargue malware haciendo clic en un anuncio de Facebook.
3. Aumentar la conciencia de seguridad de los empleados
El error humano todavía representa la mayoría de las violaciones de datos. Los piratas informáticos solo necesitan que una persona en una organización haga clic en el enlace malicioso en un correo electrónico para causar daños. Se deben tomar varios pasos para capacitar a los empleados sobre cómo reconocer el phishing y cómo manejarlos adecuadamente.
En primer lugar, los empleados deben comprender que todos ellos son víctimas potenciales de delitos informáticos. Deben ser educados sobre las amenazas más comunes y las mejores prácticas de protección. Las empresas deben brindar capacitación integral sobre cómo reconocer un mensaje de phishing, tácticas de ingeniería social y direcciones web sospechosas.
La capacitación también debe abarcar la gestión de la identidad, así como las mejores prácticas de seguridad en la nube y la seguridad móvil para que los empleados puedan protegerse.
4. Probar a los empleados sobre cómo identificar un correo electrónico de phishing
Establecer un programa de concientización sobre seguridad .
Diríjase a personas específicas dentro de diferentes áreas de su empresa con correos electrónicos de prueba de phishing. Haga un seguimiento de aquellos que identifican correctamente los correos electrónicos sospechosos frente a aquellos que no lo hacen. Entrevístelos para comprender por qué reconocieron o no los problemas internos. Utilice esa información para modificar o rediseñar sus cursos de capacitación en seguridad cibernética.
Además de evaluar a los empleados, también debe verificar regularmente la estabilidad de su infraestructura crítica. Si está alojando sus datos con un proveedor de centros de datos de terceros, debe asegurarse de que proporcione protección avanzada contra las amenazas más comunes, como DDoS, phishing y ataques de ransomware.
Si toda su infraestructura se gestiona internamente, debe asegurarse de tener todos estos sistemas para mantener sus datos seguros. También debe considerar realizar una prueba de penetración de vez en cuando para estar seguro de la seguridad de su plataforma.
5. Comunicarse eficazmente entre departamentos
Una de las formas más fáciles de administrar contraseñas es con una solución de administración de contraseñas corporativas .
Asegúrese de que sus empleados comprendan las mejores prácticas recomendadas de ciberseguridad y reciba recordatorios frecuentes sobre su importancia. Coordinar en todos los departamentos para que todos reciban la misma educación.
6. Usa una variedad de métodos de enseñanza
Todo el mundo absorbe la información de manera diferente. Algunos prefieren señales visuales, mientras que a otros les gusta la cosa documentada en un manual para consultar. También tienes a los que prefieren adquirir conocimientos de forma audible. Proporcione a sus empleados diferentes opciones para obtener educación de seguridad en línea.
7. Hacer que el entrenamiento de phishing sea personal
Los empleados a menudo no pueden comprender cómo sus acciones podrían perjudicar a toda la compañía. Bájelo de un resumen y muestre cómo les afecta. Demuestre cómo el daño causado por un software malintencionado afecta su trabajo.
8. Crear un tutorial sobre qué no compartir
Los ladrones cibernéticos rastrean continuamente las redes sociales en busca de información publicada por los empleados de las empresas a las que se dirigen.
Recomiéndeles que eviten compartir información como:
- Cumpleaños
- Direccion personal
- Números de teléfono
- Dias de vacaciones
- Detalles bancarios y de tarjetas de crédito en línea
Los atacantes usan esta información para adivinar las contraseñas que usan para acceder a las cuentas en el trabajo. Hacer que las personas sepan cuándo estará lejos de su computadora les brinda a los piratas informáticos una oportunidad para que lo atiendan mientras usted no está allí.
9. Establecer un sistema para reportar amenazas
Informe a los empleados sobre qué hacer si se encuentran con un correo electrónico fraudulento. Deben informar, incluso si no están seguros de si el mensaje es una amenaza. También deben tener cuidado con los mensajes de texto aleatorios que parecen comunicaciones oficiales de la compañía.
10. Celebre la debida diligencia de la ciberseguridad.
Muestre a los empleados su aprecio por los siguientes protocolos de seguridad. Prepare un almuerzo o un evento fuera del sitio para mostrar el aprecio de su compañía por la dedicación mostrada por los trabajadores para mantener segura la información de la compañía.
Tipos de malware utilizado en los ataques de phishing
Los hackers crean nuevos tipos de malware todos los días. El término malware cubre varios tipos de software malicioso diseñado para obtener acceso a la información en el dispositivo de un usuario.
Malware Botnet
En los últimos años, los piratas informáticos comenzaron a usar redes de computadoras diseñadas para tomar el control de los dispositivos en su hogar o empresa para lanzar ataques maliciosos. Los controles remotos manipulan estas botnets malévolas para que tus dispositivos se vuelvan en tu contra.
La computadora portátil que usa para trabajar se convierte en una herramienta para robar su información. Las nuevas tecnologías como los altavoces Amazon Echo también presentan nuevas fronteras para los hackers. Los crecientes ataques a los dispositivos de IoT (Internet of Things) hacen que las consecuencias del phishing sean más graves.
La amenaza de botnets aumentó en 2018 con más del 40% de los intentos de inicio de sesión automáticos a sitios web que son maliciosos. El sector de la hospitalidad fue el más afectado con una tasa de inicio de sesión maliciosa del 82%. Los botnets aprovechan el hecho de que la mayoría de las personas usan las mismas credenciales de cuenta para acceder a múltiples sitios.
Después de obtener las credenciales, las botnets atacan sitio tras sitio. Esto solo se detiene una vez que el usuario se da cuenta del robo y cambia su información.
Ransomware
El aumento del ransomware en la última década trajo un nuevo tipo de peligro al que enfrentarse. Este software bloquea a los usuarios de los archivos en su sistema. Los piratas informáticos exigen el pago a cambio de eliminar el malware y devolver el acceso.
Sony Pictures fue víctima de un ataque de este tipo en 2014 y nuevamente en 2017. No se trata solo de empresas a las que va dirigido. El gobierno de la ciudad de Yarrow Point en Washington lidió con frecuentes ataques de ransomware a lo largo de 2018. Descubra cómo protegerse del ransomware .
Virus informáticos
Código o software diseñado para interrumpir la forma en que funciona un dispositivo. Se adjuntan a programas legítimos para la ejecución de código, a menudo corrompiendo o destruyendo archivos del sistema en el camino.
Caballo de Troya
Se disfraza de programa legítimo dentro de un correo electrónico. Abren la puerta para acceder a la información del usuario una vez ejecutada.
Spyware
Estos programas se integran en su dispositivo para registrar sus actividades. Hacen un seguimiento de los sitios que visita y capturan cualquier información personal ingresada por usted.
Gusano
Estos programas no requieren nada de su sistema. Son autosuficientes y se duplican en todas partes sin necesidad de interacción humana.
Aprende a identificar los ataques de phishing
La mejor defensa contra todos los tipos de ataques de phishing es aprender a identificarlos .
Aprende sobre las tácticas engañosas usadas para obtener información. No permita que su empresa se convierta en una estadística y se use como ejemplo para otras empresas.
Leer también: Definición de Doxware, que es, en que consiste, significado; que hacer, como enfrentarlo, protección; Que es SSL
This post is also available in:
Español
