¿Qué es Spear Phishing? Aprende a prevenir ataques

¿Qué es Spear Phishing? Aprende a prevenir ataques.Definición, cómo funciona, ejemplos, cómo prevenir. Los últimos números están, y no son bonitos. En 2018, más del 90% de los ataques cibernéticos y sus brechas resultantes provinieron de un correo electrónico de phishing.

Según Allen Paller, del Instituto SANS, los correos electrónicos de phishing provocaron el 95% de todos los ataques a redes empresariales. Entonces, ¿qué es lo que hace que los correos electrónicos de phishing en general y los correos electrónicos de phishing de lanza sean tan peligrosos? ¿Y cómo pueden los individuos y las empresas protegerse contra una táctica tan invasiva?

El siguiente artículo detalla qué son los ataques de phishing con lanza y cómo prevenirlos.

Una definición de spear phishing

Spear phishing es un tipo de ataque de phishing mucho más específico . En este caso, el perpetrador no solo envía un correo electrónico de acciones a miles o decenas de miles de destinatarios. En su lugar, envían un correo electrónico personalizado a cada uno de sus objetivos. Ese correo electrónico se envía solo después de que el perpetrador haya realizado su investigación y conozca detalles específicos sobre su víctima que alienten al objetivo a actuar. Esos detalles clave permiten al perpetrador redactar el correo electrónico de tal manera que infunde confianza en su víctima y los aliente a hacer algo que de otra manera no podrían hacer.

Los ataques de phishing con lanza suelen apelar a la codicia humana o al miedo. Esto significa que ofrecerán objetivos de dinero, descuentos, ofertas, etc. o amenazarán a los objetivos para que actúen diciendo que sus cuentas de cheques, PayPal o eBay han sido congeladas.

Para alentar a su víctima a actuar, el perpetrador de un ataque de spishing phishing primero encontrará a su víctima y recopilará los detalles críticos para garantizar la táctica que sea creíble. Por ejemplo, pueden buscar el perfil de un individuo en un sitio de redes sociales y desde allí obtener la dirección de correo electrónico, la ubicación geográfica, el lugar de trabajo, la lista de amigos de su objetivo y cualquier artículo nuevo que haya comprado recientemente y desde dónde. Dichos detalles, por sí solos, pueden parecer inocuos, pero en conjunto permiten al autor diseñar un correo electrónico peligrosamente efectivo.

En su correo electrónico de phishing, el autor utilizará la información para hacerse pasar por un amigo, colega, jefe u otra entidad familiar para enviar un mensaje altamente convincente pero, en última instancia, fraudulento. Los piratas informáticos también emplean una combinación de suplantación de correo electrónico y URL dinámicas para hacer que los correos electrónicos parezcan más convincentes.
Según el estudio de la firma de software de seguridad Trend Micro, el 91% de los ataques cibernéticos y la violación de datos resultante comienzan con un correo electrónico de «spear phishing» .

Cómo funciona el Spear Phishing

Los esquemas de suplantación de identidad (phishing) son todos los esquemas cibernéticos o telefónicos diseñados para engañar a una víctima para que renuncie a datos personales.

Esa información luego se usa en algún tipo de estafa. Es un pirateo común, y la mayoría de los autores de esquemas de phishing se dirigen a miles de personas con el objetivo de engañar a unos pocos. Tomemos, por ejemplo, la famosa estafa «Príncipe de Nigeria». En esta estafa de phishing, miles de personas reciben correos electrónicos que ofrecen una gran suma de dinero con la condición de que el destinatario transfiera el dinero por ellos. La mayoría de la gente eliminará el correo electrónico, pero cada año sigue habiendo quienes no lo hacen. Las víctimas que caen presas pueden perder miles o incluso decenas de miles de dólares por estafa.

Sin embargo, debido a que más personas se han dado cuenta de estas estafas y debido a que los grupos de TI de las empresas y los servidores de correo electrónico han aumentado la seguridad, los phishers se han vuelto más especializados. Aquí es donde se desarrolló la técnica de pirateo del phishing.

Ejemplos de Spear Phishing

Los ejemplos y escenarios de cómo funciona el phishing con spear y cómo se ve incluyen:

Spear Phishing de un individuo: el perpetrador descubre el banco que utiliza su destino y, mediante el uso de un correo electrónico falsificado y las credenciales copiadas del sitio web, envía al objetivo un correo electrónico indicando que la cuenta ha sido violada. Ese correo electrónico utilizará el alarmismo para que el objetivo llame a un número o siga un enlace para proporcionar información bancaria confidencial (como el nombre de usuario y la contraseña) para confirmar que son los verdaderos titulares de la cuenta. El perpetrador usará esa información para desviar el dinero.

Spear Phishing en un negocio: un ataque de spear phishing contra una empresa es similar al de una persona en el sentido de que el autor primero investigará y luego usará esa investigación para redactar una estafa de apariencia legítima. Pero la diferencia es la escala. La empresa de redes Ubiquiti Networks Inc. aprendió esto con mucha dificultad cuando los ladrones cibernéticos descubrieron detalles clave sobre los ejecutivos de las empresas. Luego, los ladrones utilizaron esos detalles para crear comunicaciones falsas que parecían ser los ejecutivos de la empresa y ordenaron al departamento de finanzas de la empresa que iniciara transferencias bancarias internacionales no autorizadas por un monto de $ 46.7 millones.

5 tácticas de protección para evitar ataques de phishing

Los ataques de phishing con lanza parecen legítimos pero son muy peligrosos. Los siguientes son algunos consejos que pueden usar tanto las personas como las empresas para ayudar a evitar que los perpetradores de tales ataques recopilen datos clave y utilicen los datos para obtener cuentas críticas:

1. Evite publicar información personal en línea , como un número de teléfono personal. Cada persona debe evitar publicar sus números de teléfono en su plataforma de redes sociales y evitar ingresar su número de teléfono con sitios web y aplicaciones móviles desconocidos (e incluso los más conocidos). Los números de teléfono son tan importantes para identificar a una persona y sus antecedentes financieros completos como un número de seguro social. Con técnicas como el intercambio de tarjetas SIM y las estafas de suplantación de identidad (phishing), una persona puede hacerse cargo de todas las cuentas financieras de una persona.

2. Nunca haga clic en un enlace de correo electrónico desconocido o en un archivo adjunto , especialmente de una institución financiera o comercial. Utilice las mejores prácticas de seguridad de correo electrónico. Los perpetradores de ataques de phishing con spear comúnmente enviarán correos electrónicos que se hacen pasar por una institución de confianza a la que se conoce a su víctima, como Bank of America, Amazon y eBay. Cualquier correo electrónico que una persona reciba a través del correo electrónico personal de negocios no debe ser completamente confiable. Nunca haga clic en un enlace de dicha organización; en su lugar, abra una ventana de navegador separada y vaya directamente al sitio web de la institución para investigar reclamos y realizar negocios como de costumbre. Cualquier otro correo electrónico, de amigos, escritores de blogs favoritos u organizaciones sin fines de lucro, debe considerarse con cuidado. Verifique el texto de anclaje y nunca ingrese datos personales o información confidencial en un enlace que se haga clic en un correo electrónico.

3. Ten cuidado de compartir en las redes sociales. Tenga en cuenta los detalles personales en sus perfiles de redes sociales y a quiénes les permiten acceder. Mantenga las configuraciones de privacidad altas y evite aceptar solicitudes de amigos desconocidos.

4. Todas las organizaciones deben implementar un programa de protección de datos a gran escala. Los programas de protección de datos son una combinación de capacitación sobre concienciación de seguridad y educación del usuario sobre las mejores prácticas de seguridad digital y la implementación de una solución de protección cibernética mayorista diseñada para prevenir la pérdida potencial de datos debido a ataques cibernéticos como el phishing de lanza.

5. Mantener la información confidencial fuera de los correos electrónicos. Una de las tácticas favoritas de phishing es enviar un correo electrónico a los empleados desde una dirección con buena reputación y solicitar información confidencial, como contraseñas o detalles bancarios empresariales.

Manténgase alerta y manténgase seguro

Ninguna persona y ninguna organización es inmune a convertirse en un objetivo de los ladrones cibernéticos.

Si su información está en Internet o si su teléfono inteligente tiene aplicaciones descargadas, entonces usted es un objetivo potencial para este y otros ataques cibernéticos sofisticados. La mejor manera de evitar que una víctima caiga es mantenerse alerta en todo momento.

Mantenga la información confidencial, nunca confíe en fuentes externas y póngase en contacto con un equipo de soluciones de seguridad experimentado y profesional para garantizar que los activos de la empresa también estén protegidos.

Leer también:Seguridad del correo electrónico: La importancia de bloquear el puerto 25; Seguridad en wordpress, como prevenir ataques; Cómo prevenir un ataque de phishing

This post is also available in: Español