PHISHING
Índice
¿Qué es?
Es una técnica que usan los ciberdelincuentes para obtener información confidencial de los usuarios de forma fraudulenta y así introducir un software malicioso o apropiarse de la identidad y/o información de esas personas.
Métodos de engaño
Hay muchos métodos de engaño, pero los más comunes son:
- Correos electrónicos falsos: Utilizan esto para recopilar información como las contraseñas, mandan correos donde avisan cosas para que el usuario entre y ponga sus datos
- Notificaciones falsas de redes sociales: En este tipo de engaño se suele enviar notificaciones que parecen ser de algunas redes sociales donde muestran me gusta, comentarios, etc. Lo que hacen es que incitan al usuario a que ingrese su usuario y contraseña en una página falsa
Mensajes falsos que llegan a través de los “bancos”: Son mensajes que llegan a las personas donde piden restaurar el acceso o confirmar la identidad y con eso introducen su información bancaria, ya con eso los estafadores retiran el dinero. Es el más común y popular en los últimos años.
ingeniería social
La ingeniería social es un estudio de los hábitos diarios de una persona para así definir una técnica de ataque, como por ejemplo el phishing. De esta manera, el engaño se hace más creíble.
PICO
El método PICO (Pretexto, Impostor, Contexto, Oportunidad) es una táctica psicológica de engaño utilizadas por los cibercriminales.
En un artículo del 9 de junio de 2020 de cba24n: “Las estafas siguen siendo las mismas, lo que se está aprovechando el contexto», recalcó Emiliano Piscitelli, especialista en seguridad informática, en diálogo con la Crónica Matinal por Canal 10.
OSINT
Otro de los métodos que pueden ser utilizados en la ingeniería social es el método OSINT. OSINT (Open Source INTelligence), sirve para conseguir toda la información disponible en cualquier fuente pública sobre una empresa, persona física o cualquier otra cosa sobre la que queramos hacer una investigación.
Tipos de phishing:
Whaling: Va dirigido especícamente a los CEO. Ejemplo: puede llegar un mensaje diciendo que la empresa está enfrentándose a consecuencias legales y que debe hacer clic en el enlace para obtener más información. El enlace los lleva a una página donde se le pide que introduzca la información importante sobre su empresa como el número de identificación fiscal o de la cuenta bancaria.
Smishing: es un ataque que utiliza mensajes texto (SMS) . Una técnica habitual de smishing es enviar un mensaje a un teléfono móvil mediante SMS y que contiene un enlace para hacer clic o devolver una llamada a un número de teléfono.
Vishing: tiene el mismo objetivo que los demás tipos de phishing. Los atacantes siguen detrás de su información personal o corporativa sensible.
Por email: El phishing por email es el tipo más utilizado de phishing y se viene utilizando desde 1990. Generalmente le informan de que su cuenta está comprometida y que necesita responder de inmediato haciendo clic en el enlace proporcionado. Generalmente estos ataques son fáciles de detectar debido a que el lenguaje en el email contiene faltas de ortografía y/o gramaticales.
¿Cómo darse cuenta?
¿Cómo darse cuenta?
Generalmente estos ataques son fáciles de detectar debido a que el lenguaje en el email contiene faltas de ortografía y/o gramaticales. Algunos emails son difíciles de identificar como ataques de phishing, especialmente cuando el lenguaje y la gramática están más cuidados. Comprobar la fuente del email y el enlace al que le están redirigiendo en busca de lenguaje sospechoso puede darle pistas sobre si el origen es o no legítimo.
Ejemplo:
Este tipo de engaño/estafa casi siempre suele estar dirigido a las empresas de administración o a los que están orientados a la salud.
Estadísticas:
Adjuntamos una foto donde muestra las estadísticas de los últimos años hasta el 2021.
Situación en América Latina en agosto 2023:
- Hubo 286 millones de bloqueos de phishing, eso equivale a 544 intentos de ataque por minuto.
Países más afectados:
- Brasil: 134 millones.
- México: 43 millones.
- Perú: 31,5 millones.
- Colombia: 30,9 millones.
- Ecuador: 12,2 millones.
- Chile: 10,5 millones.
- Argentina: 9,4 millones.
- 4 de cada 10 intentos de phishing se dirigen a datos financieros (42,8%). Temas bancarios (28,4%), medios de pago (9,4%) y servicios financieros (2,70%).
¿Qué hacer si fuiste atacado?
Si descubrís que fuiste objeto de un ciberataque del tipo phishing en un lapso relativamente corto de tiempo, puedes intentar minimizar el daño accediendo a tu cuenta (si es posible) para expulsar cualquier tipo de cosas que haya en la misma, cambia la contraseña y comproba si el atacante cambió cualquiera de los settings o configuraciones de tu cuenta para asegurarte de seguir teniendo acceso a la misma en caso de que no modificaras la contraseña. Revisar por ejemplo si ha indicado una dirección secundaria de recuperación de contraseña, reenvío de emails a otra dirección, etc.
Fuentes
Autores
Milagros Encía y Pablo Ramírez.