aún Suplantación de identidad Una de las mayores amenazas de ciberseguridad en el mundo.
De hecho, según una investigación de la empresa Seguridad Cibernética de Barracuda El phishing se ha vuelto tan frecuente que la cantidad de ataques de phishing relacionados con el coronavirus aumentó en un 667 % de enero a marzo de este año. Lo que es aún más preocupante es que, según un estudio de Intel, hasta el 97 por ciento de las personas no pueden reconocer un correo electrónico de phishing.
Para evitar convertirse en una víctima, debe conocer las diferentes formas en que un estafador puede intentar atacarlo. Aquí hay ocho tipos diferentes de intentos de phishing que puede encontrar.
1. Suplantación de identidad por correo electrónico
Este es un phishing típico diseñado para imitar un mensaje de correo electrónico de una empresa legítima. Es el tipo de ataque menos complejo que utiliza el método de “rociar y rezar” (un término utilizado originalmente en la publicidad tradicional, lo que significa que el comerciante puede inyectar dinero y gastarlo en campañas publicitarias y rezar por los resultados).
Este tipo de phishing no se dirige a una persona específica y los correos electrónicos genéricos a menudo se envían a millones de usuarios con la esperanza de que algunas víctimas desprevenidas hagan clic en el enlace, descarguen el archivo o sigan las instrucciones del correo electrónico.
Los mensajes a menudo no se personalizan, por lo que encontrará que se utiliza un saludo genérico como "Estimado titular de la cuenta" o "Estimado miembro". La ingeniería social a menudo se utiliza para propagar el pánico o el miedo mediante el uso de palabras como "urgente" para que los usuarios hagan clic en un enlace.
2. phishing selectivo
Este tipo de phishing es más complejo y avanzado que el phishing anterior y se dirige a un grupo específico o incluso a un individuo específico. A menudo, los piratas informáticos destacados lo utilizan para infiltrarse en las organizaciones.
El estafador realiza una investigación exhaustiva sobre las personas, sus antecedentes o las personas con las que interactúa habitualmente para poder elaborar un mensaje más personal. Y dado que los usuarios a menudo no sospechan que algo anda mal con mensajes de carácter más personal.
Siempre verifique la dirección de correo electrónico y el formato de la carta con lo que normalmente recibiría de ese contacto. También es mejor ponerse en contacto con el remitente y verificar todo antes de descargar el archivo adjunto o hacer clic en los enlaces, incluso si parece ser de alguien que conoce.
3. Caza de ballenas
Este es otro tipo de phishing sofisticado y avanzado que solo se dirige a un grupo específico de personas: gerentes comerciales de alto rango, como gerentes o directores ejecutivos.
A veces, el objetivo se puede abordar directamente en el texto del saludo y el mensaje puede tener la forma de una citación, una demanda legal o algo que requiera una acción urgente para evitar la bancarrota, el despido o los honorarios legales.
El atacante pasa mucho tiempo investigando exhaustivamente a la persona y elaborando un mensaje especializado para dirigirse a personas clave de la organización que generalmente tienen acceso a fondos o información confidencial.
Los enlaces se enviarán al objetivo y utilizarán una página de inicio de sesión encubierta donde el hacker recopilará los tokens de acceso o los detalles de las credenciales. Algunos ciberdelincuentes también pueden solicitar a las víctimas que descarguen un archivo adjunto para ver el resto de la citación o supuesta carta. Estos archivos adjuntos vienen con malware que puede acceder a su computadora.
4. Phishing de voz
El phishing telefónico o phishing de voz es un tipo de phishing, pero en lugar de enviar un correo electrónico, el atacante intentará obtener su información de inicio de sesión o los datos bancarios de su teléfono.
El atacante se hará pasar por un empleado de una organización o soporte técnico de una empresa de servicios y luego influirá en las emociones para pedirle a la víctima que le entregue los datos de su cuenta bancaria o tarjeta de crédito.
A veces, la llamada puede ser sobre un monto atrasado, como impuestos, ganancias de concursos, o ser de un trabajador de soporte técnico falso que solicita acceso remoto a una computadora. También puede usar un mensaje de voz pregrabado y falsificar el número de teléfono, haciendo que la llamada externa parezca local. Esto se hace para dar credibilidad al ataque y hacer creer a las víctimas que la llamada es legítima.
Los expertos aconsejan a las personas que nunca brinden información confidencial, como detalles de inicio de sesión, números de seguro social o detalles bancarios y de tarjetas de crédito por teléfono. Finalice la llamada y comuníquese con su banco o proveedor de servicios de inmediato.
5. Suplantación de identidad por SMS
SMS Phishing es cualquier forma de phishing que implica el uso de mensajes de texto o SMS. El estafador intentará atraerlo para que haga clic en un enlace enviado a través de un mensaje que lo lleva a un sitio web falso. Se le pedirá que escriba información confidencial, como los datos de su tarjeta de crédito. El hacker luego recopilará esta información del sitio web.
A veces puede indicarle que ha ganado un premio o que, si no ingresa su información, aún se le cobrará por hora por un servicio en particular. Como regla general, debes evitar responder mensajes SMS de números que no conoces. Además, evite hacer clic en los enlaces que recibe en los mensajes de texto, especialmente si no conoce la fuente.
6. Pesca con caña
Una técnica de phishing relativamente nueva está utilizando las redes sociales para atraer a las personas a compartir información confidencial. El estafador observa a las personas que publican sus problemas con la banca y otros servicios en las redes sociales. Luego pretenden ser un representante de servicio al cliente de esa empresa.
Supongamos que publica una diatriba sobre un depósito atrasado o alguna mala operación bancaria y la publicación incluye el nombre de su banco. El ciberdelincuente usará esta información para hacerse pasar por el banco y luego contactarlo.
Luego se le pedirá que haga clic en un enlace para que pueda hablar con un representante de servicio al cliente y luego se le pedirá cierta información para "verificar su identidad".
Cuando recibe un mensaje como este, siempre es mejor ponerse en contacto con el servicio de atención al cliente a través de canales seguros como las páginas oficiales de Twitter o Instagram. Suelen tener una etiqueta Cuenta verificada.
7. Fraude del director general
Esta especie es casi como la caza de ballenas. Se dirige a los directores ejecutivos y gerentes, pero se está volviendo cada vez más engañoso porque el objetivo no es solo obtener información del director ejecutivo, sino hacerse pasar por él. El atacante, haciéndose pasar por el CEO o similar, enviará un correo electrónico a sus compañeros solicitando dinero a través de transferencia bancaria o solicitando el envío de información confidencial de forma inmediata.
Por lo general, el ataque se dirige a una persona dentro de la empresa que está autorizada para realizar transferencias electrónicas, como un funcionario de presupuestos, personas del departamento de finanzas o cualquier persona con información confidencial. A menudo, el mensaje debe sonar muy urgente, para que la víctima no tenga tiempo de pensar.
8. Suplantación de identidad en motores de búsqueda
Este es uno de los tipos más recientes de ataques de phishing que utilizan motores de búsqueda legítimos. El estafador creará un sitio web falso que ofrece ofertas, artículos gratuitos, descuentos en productos e incluso ofertas de trabajo falsas. entonces se usará Técnicas de SEO (Optimización de motores de búsqueda) para que su sitio web sea indexado por motores de búsqueda legítimos.
Entonces, cuando busque algo, el motor de búsqueda le mostrará resultados que incluyen estos sitios falsos. Luego, será engañado para que inicie sesión o proporcione información confidencial que luego recopilan los ciberdelincuentes.
Algunos de estos estafadores se han vuelto expertos en el uso de técnicas avanzadas para manipular los motores de búsqueda para dirigir el tráfico a sus sitios web.
Manténgase informado y esté atento
Conocer los nombres de cada tipo no es tan importante como comprender el método de ataque, el modo y el canal de cada ataque. No es necesario que se confunda con todos ellos, pero es importante saber cómo diseñar los mensajes y los canales que utilizan los atacantes para llegar a usted.
También es importante estar siempre alerta y saber que hay muchas personas tratando de engañarlo para que proporcione sus datos confidenciales. Comprenda que su empresa puede convertirse en el objetivo de un ataque y que los delincuentes están buscando una forma de entrar.
Conocer la existencia de tales amenazas es el primer paso para evitar que su computadora se convierta en un punto de entrada para los atacantes. También es importante volver a verificar la fuente del mensaje antes de tomar medidas.
También debe comprender que los atacantes a veces usan el miedo y el pánico de los usuarios para que hagan lo que quieren. Entonces, cuando te enfrentas a una amenaza, es importante que te calmes para que puedas pensar. Y cuando se trata de detectar estafas y regalos, todavía se aplica el viejo adagio: Si algo suena demasiado bueno para ser verdad, probablemente lo sea.
