Todo lo que debes saber sobre los diferentes tipos de Phishing
“¡Felicidades! Has ganado un millón de dólares. Envíanos tus datos bancarios”.
Si estás en Internet, es posible que hayas visto esos correos electrónicos en tu bandeja de entrada o en el buzón de correo no deseado.
Estos correos electrónicos se denominan phishing. El phishing es un delito cibernético en el que los delincuentes utilizan tecnología informática para robar datos de las víctimas, que pueden ser personas o empresas. En este artículo te proporcionamos todos los detalles sobre este delito cibernético para que no te conviertas en una víctima más. Además, hablaremos sobre los diferentes tipos de phishing.
¿Qué es el phishing?
El phishing es un ataque en el que los delincuentes atraen a las víctimas, con la intención de robar sus datos. Los atacantes pueden lograr sus objetivos mediante correos electrónicos y mensajes de texto falsos. Principalmente, se realiza mediante campañas masivas de correo electrónico.
Por lo general, los ciberdelincuentes usan correos electrónicos temporales y servidores temporales, por lo que a las autoridades les resulta difícil atraparlos. Ellos suelen tener una plantilla general que se envía a cientos de miles de destinatarios para que al menos algunos puedan ser engañados. Por ello, debemos aprender a identificar los diferentes ataques de phishing.
¿Por qué se llama phishing?
¿Sabes de pesca? En la pesca de la vida real, el pescador coloca un cebo(carnada/anzuelo) para poder atrapar peces enganchándolos a la caña de pescar. También en Internet utilizan un cebo en forma de mensaje que puede ser convincente y parece genuino. Dado que los delincuentes utilizan un cebo, se denomina phishing. La palabra phishing significa password fishing (pesca de contraseñas).
El anzuelo podría ser una promesa de dinero o cualquier bien que pudiera obligar a cualquier usuario final a hacer clic. A veces, el anzuelo es diferente (por ejemplo, amenaza o urgencia) y llama a la acción. Te piden, por ejemplo, hacer clic en enlaces que dicen que debes volver a validar tu cuenta en Amazon, Apple o PayPal.
¿Cómo se pronuncia phishing?
Se pronuncia PH-ISHING. ‘PH’ como en Fishing.
¿Qué tan común es el phishing?
Los ataques de phishing son más comunes que el malware. Esto quiere decir que cada vez más ciberdelincuentes se dedican a la suplantación de identidad. Los ciberdelincuentes prefieren el phishing en lugar de difundir malware mediante correos electrónicos, sitios web falsos o anuncios falsos en sitios web auténticos.
En estos días, los kits de phishing se venden en línea, por lo que prácticamente cualquier persona con algún conocimiento de redes puede comprarlos. Y, obviamente, puede usarlos para tareas ilegales. Estos kits de phishing ofrecen de todo, desde la clonación de un sitio web hasta la compilación de un mensaje de texto o email atractivo.
Tipos de phishing
Existen muchos tipos de phishing. Algunos de los más populares son:
- Los correos electrónicos regulares generales que te preguntan tus datos personales son la forma más utilizada de phishing
- Spear phishing
- Estafas de Whaling
- Smishing (phishing por SMS) y Vishing
- Estafas de QRishing
- Tabnabbing
1. Phishing general
En su forma más básica de phishing, te encuentras con correos electrónicos y mensajes de texto. Estos te advierten sobre algo mientras te piden que hagas clic en un enlace. En algunos casos, te piden que abras el archivo adjunto en el correo electrónico que te enviaron.
En la línea de asunto del correo electrónico, los ciberdelincuentes te atraen para que abras el correo electrónico o el texto. A veces, el asunto es que una de tus cuentas en línea necesita una actualización y parece urgente.
En el cuerpo del correo electrónico o texto, hay información convincente que es falsa pero creíble y luego termina con una llamada a la acción. Por ejemplo, pedirte que hagas clic en el enlace que proporcionan en el correo electrónico o texto de phishing. Los mensajes de texto son más peligrosos porque usan URL abreviadas cuyo destino o enlace completo no se puede verificar. Podrás saber de qué se trata hasta que hagas clic en ellos cuando los lees en el teléfono. Puede haber cualquier aplicación en cualquier lugar que pueda ayudar a verificar la URL completa, pero todavía no conozco ninguna para mensajes de texto.
2. Spear phishing
Se refiere al phishing dirigido en el que los objetivos son empleados de empresas comerciales. Los ciberdelincuentes obtienen las identificaciones de sus lugares de trabajo y envían correos electrónicos de phishing a esas direcciones.
Aparece como un correo electrónico de alguien que está en la cima de la escala corporativa, lo que genera suficiente prisa para responderles … y ayuda a los ciberdelincuentes a entrar en la red de la empresa. Puedes leer más detalles sobre el spear phishing aquí.
3. Whaling (Caza de ballenas)
El Whaling es similar al spear phishing. La única diferencia entre Whaling y Spear phishing es que el spear-phishing puede apuntar a cualquier empleado. Por su parte, el Whaling se usa para apuntar a ciertos empleados privilegiados.
El método es el mismo. Los ciberdelincuentes obtienen las direcciones de correo electrónico oficiales y los números de teléfono de las víctimas. Posteriormente, les envían un correo electrónico o mensaje de texto convincente que implica algún llamado a la acción. Esa acción podría abrir la intranet corporativa para darles acceso por alguna puerta trasera.
4. Smishing y Vishing
Cuando los ciberdelincuentes utilizan el servicio de mensajes cortos (SMS) para pescar los datos personales de las víctimas, se conoce como phishing por SMS o Smishing para abreviar. Puedes leer masa detalles sobre Smishing aquí.
5. Estafas de QRishing
Los códigos QR no son nuevos. Cuando se supone que la información debe mantenerse breve y secreta, los códigos QR son los mejores para implementar.
Es posible que hayas visto códigos QR en diferentes pasarelas de pago, anuncios bancarios o simplemente en WhatsApp Web. Estos códigos contienen información en forma de un cuadrado con negro esparcido por todas partes.
Dado que no se sabe qué información proporciona un código QR, siempre es mejor mantenerse alejado de las fuentes desconocidas de los códigos. Es decir que, si recibes un código QR en un correo electrónico o mensaje de texto de una entidad que no conoces, no los escanees.
6. Tabnabbing
El tabnabbing cambia una página legítima que estabas visitando a una página fraudulenta, una vez que visitas otra pestaña. Por ejemplo:
- Navegas a un sitio web genuino.
- Abres otra pestaña y navegas por el otro sitio.
- Después de un tiempo, regresas a la primera pestaña.
- Se te da la bienvenida con nuevos datos de inicio de sesión, tal vez a tu cuenta de Gmail.
- Vuelves a iniciar sesión, sin sospechar que la página, incluido el favicon, ha cambiado a tus espaldas.
Esto es Tabnabbing, también llamado Tabjacking.
Hay otros tipos de phishing que no se utilizan mucho en la actualidad. No los he nombrado en esta publicación. Los métodos utilizados para el phishing siguen agregando nuevas técnicas cada día.
Identificación de mensajes de texto y correos electrónicos de phishing
Los ciberdelincuentes toman todas las medidas para engañarte para que hagas clic en sus enlaces ilegales para robar tus datos. No obstante, hay algunas señales que indican que un mensaje o correo electrónico es falso.
En la mayoría de los casos, los tipos de phishing usan un nombre familiar para ti. Puede ser el nombre de cualquier banco conocido o cualquier otra empresa como Amazon, Apple, eBay, etc. Debes prestar mucha atención a la dirección de correo electrónico.
Los ciberdelincuentes de phishing no utilizan correo electrónico permanente como Hotmail, Outlook y Gmail, etc. oproveedores de alojamiento de correo electrónico populares. Ellos usan servidores de correo electrónico temporales, por lo que cualquier cosa de una fuente desconocida es sospechosa.
En algunos casos, los ciberdelincuentes intentan falsificar las direcciones de correo electrónico utilizando un nombre comercial, por ejemplo, servicio_al_cliente.amazon@fakeemail.com. La dirección de correo electrónico contiene el nombre de Amazon. No obstante, si observas detenidamente, no es de los servidores de Amazon sino de algún servidor fakeemail.com.
Por lo tanto, si un correo de https://www.bbva.mx/
proviene de una dirección de correo electrónico que dice soporte@bbvamail.mx
, debes tener cuidado. Además, debes buscar errores ortográficos. En el ejemplo de BBVA, si la dirección de correo electrónico proviene de bvbamail.mx
, es un correo electrónico de phishing.
Si aún tienes dudas y quieres estar seguro de no caer en la trampa, puedes usar PhishTank para a verificar o denunciar sitios web de phishing.
Precauciones contra el phishing
En la sección anterior te hablé sobre la identificación de correos electrónicos y mensajes de texto de phishing. La principal precaución es la necesidad de verificar el origen del correo electrónico en lugar de simplemente hacer clic en los enlaces del mismo. No debes entregar tus contraseñas y preguntas de seguridad a nadie. Debes observar la dirección electrónica desde donde se envió el correo electrónico.
Si es un mensaje de texto de un amigo, es posible que desees confirmar si él realmente lo envió. Podrías llamarlo y preguntarle si te envió un mensaje con un enlace.
Nunca hagas clic en enlaces en correos electrónicos de fuentes que no conozcas. Incluso para los correos electrónicos que parecen genuinos, supongamos de Amazon, no hagas clic en el enlace. En su lugar, debes abrir el navegador y escribir la URL de Amazon. Desde allí, puedes verificar si realmente necesitas enviar algún detalle a la empresa.
Algunos enlaces afirman que tienes que verificar tu registro. Tienes que observar si te registraste en algún servicio recientemente. Si no lo recuerdas, debes obviar el enlace de correo electrónico.
¿Qué pasa si hago clic en un enlace de phishing?
Debes cerrar el navegador de inmediato. No toques ni ingreses ninguna información en caso de no poder cerrar el navegador, como en el navegador predeterminado de algunos teléfonos inteligentes. Debes cerrar manualmente cada pestaña de dichos navegadores. Recuerda no iniciar sesión en ninguna de tus aplicaciones hasta que ejecutes un análisis con BitDefender o Malwarebytes. Recuerda que también hay algunas aplicaciones de pago que puedes usar.
Lo mismo ocurre con las computadoras. Si haces clic en un enlace, se ejecutaría el navegador y aparecería algún tipo de sitio web clonado. No hagas clic ni toques en ningún lugar del navegador. Simplemente haz clic en el botón cerrar del navegador o utiliza el Administrador de tareas de Windows para cerrar el mismo. Finalmente, debes ejecutar un análisis antimalware antes de usar otras aplicaciones en la computadora.