6 ataques comunes de phishing y cómo protegerse contra ellos

Con Internet convirtiéndose en el pilar de la transferencia de datos en todo el mundo, es natural ver el surgimiento de mecanismos de seguridad para proteger el flujo de información. Los correos electrónicos son el motor principal detrás del flujo interminable de datos. Es por eso que las leyes y regulaciones van de la mano con nuevas y mejores medidas de seguridad. Todos en Internet pueden convertirse repentinamente en un objetivo. Los ataques de phishing son genuinos y afectan a las personas todos los días.

Pero , ¿qué es el phishing? ¿Por qué representa una amenaza tan grande para las comunicaciones en línea? Según Verizon y su Informe de investigación de violación de datos, en 2021, casi el 36% de todos los ataques en línea fueron intentos de phishing. La cifra es preocupante, sobre todo porque en 2020, el mismo informe midió los ataques en un 22%. A medida que el mundo vuelve lentamente a la normalidad después de la pandemia, los estafadores digitales no muestran signos de desaceleración.

En las siguientes líneas, aprenderemos qué es el correo electrónico de phishing, los tipos más populares de phishing y cómo protegerse contra un ataque de phishing.

¿Qué es el phishing?

Un ataque de phishing es un esquema de ingeniería social diseñado para persuadirlo a tomar medidas para proporcionar acceso a información confidencial a terceros. Los actores maliciosos usan muchas técnicas diferentes para obtener lo que necesitan de ti. Han dominado estas formas de engaño para parecer racionales, autoritarios y conocedores de asuntos que te hacen bajar la guardia y revelar información delicada.

Los ataques de phishing toman muchas formas, pero comúnmente llegan a las víctimas por correo electrónico. Estos mensajes falsifican la identidad de alguien en quien confías. Pueden apelar a su sentido de urgencia al presentarle una situación delicada que necesita que tome medidas para resolverla. Los ataques de phishing también pueden llegar a usted en forma de enlaces maliciosos incrustados en sus mensajes o archivos para plantar malware en su sistema. Desea aprender cómo protegerse contra el phishing si tiene un negocio.

¿Qué tipos de estafas de phishing existen?

Los ataques de phishing proliferan más que nunca. La mejor protección contra el phishing es el conocimiento. Para evitar cualquier ataque a su empresa, debe aprender todo sobre las estafas de phishing. Existen diferentes tipos de phishing, y discutiremos algunos de los métodos más comunes utilizados por los atacantes cibernéticos. Esté atento a este análisis, ya que le proporcionaremos información para protegerse de cualquier daño.

• Suplantación de identidad engañosa

  Cuando pregunta qué es phishing en el sentido amplio del término, obtiene la definición de phishing engañoso como una explicación general. Es la estafa más común a la que te puedes enfrentar, en la que los ciberdelincuentes se hacen pasar por una empresa o un remitente de confianza de tu lista de correo electrónico para robar credenciales de inicio de sesión o datos personales. Para obtener lo que quieren, estos estafadores usan dominios falsos, enlaces acortados, archivos .exe, consultas profundas y un sentido de urgencia.

  El phishing engañoso depende de muchas variables para tener éxito. La tasa de éxito de este ataque depende de la capacidad de los atacantes para hacer que sus correos electrónicos parezcan oficiales. Los usuarios deben prestar mucha atención a los pequeños detalles para detectar ataques de phishing engañosos. El uso de URL acortadas es una señal de alerta. También puede vigilar la sintaxis de la dirección de correo electrónico del remitente. Busque inconsistencias con sus mensajes anteriores: saludos genéricos, errores gramaticales y más indican que algo anda mal.

• Suplantación de identidad (spear phishing)

  A medida que aprenda sobre las técnicas de phishing, descubrirá qué es el phishing selectivo. Este ataque es más personal y personalizado para un objetivo específico. Los piratas informáticos se toman su tiempo para aprender todo lo que puedan sobre la persona a la que pretenden atacar. Todo es útil: su nombre completo, cargo, número de teléfono y dirección de correo electrónico. Con todos estos fragmentos de información, el atacante puede crear un escenario específico para engañar a su víctima para que libere datos confidenciales. La suplantación de identidad (spear phishing) apunta a apuestas más altas, como comprometer datos confidenciales o apropiarse de fondos.

  Los ataques de phishing selectivo pueden originarse como un solo correo electrónico o desde otros entornos, como las redes sociales. Es fácil ver este tipo de estafas en LinkedIn y Facebook. Si está en el proceso de aprender cuál es un indicador común de un intento de phishing, el phishing selectivo lo hace bastante difícil. El ataque se centra en los detalles que se detectan en una inspección más detallada. En este caso, recomendamos ponerse en contacto con la persona que realiza solicitudes inusuales en línea para asegurarse de que sus instrucciones provengan de ellos.

• Phishing de abrevadero

  Uno de los tipos más comunes de phishing son los ataques de abrevadero. Estos están diseñados para comprometer a los usuarios de sitios web populares, explotar las debilidades del sitio y llevar a cabo otros ataques de phishing. Muchos ataques de abrevadero atraen a los usuarios a una página falsa maliciosa para infectar sus dispositivos con malware o robar sus datos. El ataque se basa en gran medida en la redirección de enlaces y, aunque tienen un alcance limitado, siguen siendo efectivos cuando se combinan con avisos por correo electrónico.

  Pensar en la mejor protección contra el phishing es un poco más complicado aquí. Los piratas informáticos replican la página falsificada a la perfección y se pierden muy pocos detalles. La mejor defensa contra los pozos de agua son las soluciones avanzadas de ataque dirigido. Se trata de puertas de enlace web creadas para defender el sitio web de su empresa contra cualquier intento de coincidencia de firmas conocidas con mala reputación. Las soluciones de malware dinámico también son una opción, ya que verifican el comportamiento malicioso en tiempo real.

• smishing

  Smishing es una palabra compuesta que fusiona "SMS" y "phishing". Como su nombre lo indica, este ataque se lleva a cabo mediante mensajes SMS. Vishing aprovecha los mensajes de texto para engañar a los usuarios para que hagan clic en enlaces maliciosos para entregar información personal. El mensaje SMS puede desencadenar una descarga maliciosa en su dispositivo. El mensaje también sirve para enviar formularios de robo de datos o para ponerse en contacto con un equipo de soporte técnico falso. Disfraces vishing avanzados como USPS, FedEx o incluso Amazon.

  

  Si se pregunta qué es un intento de phishing de este tipo y cómo se ve, es difícil saberlo a primera vista. Si eres un usuario frecuente de los servicios de entrega, eres más propenso a este ataque. Los estafadores pueden determinar fácilmente cómo estas empresas dan formato a sus mensajes SMS para falsificarlos. Si recibe una notificación que le pide que realice acciones inusuales, lo mejor es ponerse en contacto con el servicio de atención al cliente y asegurarse de que le hayan enviado un mensaje.

• vikingo

  Vishing es otra palabra compuesta derivada de "Voz" y "phishing". Este es un ataque que dispensa correos electrónicos a través de llamadas de voz. El atacante confía en un servidor de Voz sobre Protocolo de Internet para imitar entidades o personas con autoridad para robar datos confidenciales o hacerse cargo de un flujo de fondos. Es uno de los métodos de phishing más utilizados en los últimos dos años, ya que la mayoría de las personas pasan sus días trabajando desde casa.

  Vishing tiene algunas capas de complejidad. Los atacantes confían en los murmullos para responder preguntas técnicas. También toman la ruta opuesta al incluir tanta jerga técnica como sea posible para que las víctimas se sientan abrumadas. Los ataques más intrincados disfrazan su número de teléfono como un contacto de confianza. La única defensa directa contra el vishing es evitar contestar llamadas telefónicas de números que no conoce y nunca entregar ningún dato personal en una llamada. Si pregunta qué es el phishing, esta es la única técnica que realmente requiere un poco de esfuerzo.

• Farmacia

  El pharming es una técnica de phishing para hackers expertos en tecnología. Lleva menos tiempo que los correos electrónicos de hostigamiento regulares y les permite obtener todos los datos que necesitan en cuestión de minutos. El atacante envenena un DNS utilizando la dirección IP numérica para contactar con un sitio web. Los ataques permiten al farmacéutico cambiar la dirección IP asociada con el nombre alfabético de un sitio web, lo que le permite redirigir todas las visitas a dicho sitio web a un sitio malicioso. Pueden recopilar datos como información de inicio de sesión, números de tarjetas de crédito y más.

  El pharming se puede prevenir fácilmente simplemente mirando la URL del sitio donde se le pide que ingrese sus datos. No mucha gente lo hace, y es por eso que este ataque es tan eficiente. Antes de iniciar sesión en cualquier sitio web que requiera credenciales, asegúrese de que el sitio comience con HTTPS. Los software antivirus modernos detectan fácilmente los sitios maliciosos. Asegúrese de que el suyo esté actualizado y funcionando sin problemas. Si cree que ha sido víctima de pharming, cambie sus datos de inicio de sesión lo más rápido posible utilizando un enlace adecuado.

¿Cómo puedo detectar una estafa de phishing?

Si desea aprender cómo protegerse contra el correo electrónico de phishing, investigar cómo detectar ciertos aspectos de sus mensajes es la mejor manera de hacerlo. Los correos electrónicos que normalmente recibe de clientes, socios comerciales y proveedores siguen una estructura única. Una vez que te familiarizas con él, es más fácil detectar algo inusual. La primera bandera roja, por supuesto, son los mensajes que piden dinero. Si alguno de tus recibos habituales te pide de repente una transferencia lo mejor es andar con cuidado.

Asegúrese de verificar el correo electrónico del dominio del remitente. Puede notar un ligero cambio que puede hacerle saber que es una estafa (la letra "o" cambió por un "0", por ejemplo). También puede echar un buen vistazo al mensaje en sí. Si observa errores gramaticales, ortográficos o estructuras inusuales en el mensaje, algo no está bien, incluso líneas genéricas de saludo que deberían ser una señal de alerta.

No importa si no eres experto en tecnología, puedes hacer mucho más para detectar una estafa de phishing. Trate de evitar lo siguiente:

• Mensajes solicitando acciones urgentes inesperadas en su nombre.
• Llamadas repentinas de alguien que se identifica como soporte técnico de un servicio que solicita información personal.
• Mensajes que ofrecen enlaces directos para iniciar sesión en un sitio web.

¿Qué hacer una vez que he identificado un correo electrónico de phishing?

La mejor protección contra el phishing es pausar todas sus acciones en línea. No reaccione de forma exagerada a ninguna presión de un mensaje. Lo mejor es analizar la situación para determinar si se trata de una estafa legítima. Tómese el tiempo para leer el correo electrónico o el mensaje que parezca sospechoso. Lea el contenido y evalúe su legitimidad. Compruebe si hay alguna incoherencia. Si un servicio confiable como PayPal o su banco se está comunicando con usted, asegúrese de que el correo electrónico esté dirigido a usted.

A medida que aprende a protegerse contra el phishing, la acción más sólida que puede tomar es simplemente ignorar estos mensajes. Si el correo electrónico lo envía un remitente de confianza, lo mejor que puede hacer es ponerse en contacto con la persona que solicita información en el mensaje. Le informarán si su solicitud es legítima. La mayoría de los ISP ya hacen este trabajo por usted con sus filtros enviando miles de estos mensajes a su casilla de correo no deseado o bloqueándolos por completo.

¿Qué debo hacer para evitar ser víctima de phishing?

Como dueño de un negocio, hay muchas cosas que puede hacer para obtener la mejor protección contra el phishing. Usted tiene el deber con sus clientes y empleados de mantener las comunicaciones seguras y protegidas. Puede cumplir con esta premisa configurando sus políticas DMARC. Probablemente ni siquiera sepa si tiene DMARC en su lugar. Está bien; puede usar este verificador DMARC gratuito de la buena gente que trabaja en EasyDMARC para obtener más información sobre el sitio web de su empresa.

DMARC es el mejor protocolo para autenticar su dirección de correo electrónico y su dominio. Esta herramienta verifica su identidad en línea y permite que todos sepan que usted es un remitente confiable, al mismo tiempo que le permite ver qué tan bien están funcionando sus campañas de correo electrónico. EasyDMARC puede ayudarlo a ponerse al día y convertirlo en un remitente verificado en poco tiempo, por lo que ya no tendrá que lidiar con ataques de phishing. Dado que no muchas personas están familiarizadas con DMARC, podemos brindarle información al respecto.