Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio conocido (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo, revelar información confidencial o hacer click en un enlace).
Para realizar el engaño, habitualmente se hace uso de la ingeniería social explotando los instintos sociales de la gente, como es de ayudar o ser eficiente. También mediante la adulación de la víctima, explotando su intrínseca vanidad o necesidad de ser reconocido, baja autoestima, o una persona que busca trabajo. Por ejemplo, enviando correos electrónicos o mostrando publicidades a la víctima diciéndole que ha ganado un premio y que siga un enlace para recibirlo, siendo aquellas promesas falsas (un cebo).
A veces también se hace uso de procedimientos informáticos que aprovechan vulnerabilidades. Habitualmente el objetivo es robar información pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes. En este artículo, compartiremos cuáles son los tipos de engaño más comunes que existen y lo que puedes hacer para evitarlos.
¿Cuáles son los tipos de Phishing y sus características?
El Phishing es uno de los ataques más comunes y conocidos en internet, desde el príncipe nigeriano con las cuentas bloqueadas en el extranjero por motivos políticos (cualquiera que usara internet en los 90 sabrá a qué nos referimos), hasta versiones mucho más sofisticadas en las que las referencias a las personas implicadas son reales (Entre ellos nombres de banqueros reales) y que al buscarlos en Google los resultados son “satisfactorios”.
Pero no solo del príncipe nigeriano vive el Phishing, y con el tiempo han ido desarrollando nuevas técnicas y tipos diferentes de ataque, a continuación dejaremos una lista a vuestra disposición con los más habituales.
- Phishing de engaño: Los piratas informáticos intentan hacerse pasar por empresas o personas legítimas con el fin de obtener su confianza. Este tipo de email suele ser más general, más parco en detalles y dirigido de manera “industrial”, buscan el mayor número de víctimas posibles sin entrar en los detalles de las mismas. El ejemplo clásico sería el príncipe Nigeriano del que hablamos antes.
- Spear phishing: Este tipo de phishing es personalizado, su auge se debe en parte a Linkedin y las redes sociales profesionales, donde la información de empresas y sus trabajadores están detalladas, dando a los piratas informáticos información muy útil a la hora de preparar los emails con la trampa y cebo adecuado.
- Whaling: Es parecido al spear phishing, solo que en este caso y trabajando con las metáforas de pesca, este es dirigido a objetivos de alto valor, como ejecutivos, CEOs… básicamente las “ballenas” de la empresa.
- Fraude de CEO: Generalmente realizados tras un ataque de whaling exitoso (al tener las credenciales del CEO), suelen realizarse para recabar los datos personales de los trabajadores de la empresa, números de teléfono, datos bancarios etc, aunque no siempre utilizan la cuenta del CEO y simplemente tratan de usar su nombre desde una cuenta que ni siquiera coincide para tratar de atrapar los datos de los menos cautos.
- Catfishing: Por sorprendente que parezca hay gente que utiliza las redes sociales dedicadas al flirteo para hacerse pasar por otra gente y acabar consiguiendo las credenciales de los incautos que creen estar hablando con una potencial pareja y en realidad es un pirata informático haciéndose pasar por el hombre o mujer de sus sueños. En Deloitte en 2016 hubo un caso en el que la brecha de seguridad se le atribuye a eso, a continuación un enlace donde podemos ver la historia detallada y como procurar protegernos del Catfishing.
En este artículo podemos leer un caso bastante rocambolesco sobre el Catfishing.
Hay más ejemplos como el phishing de clonación, que se basa en tomar una cuenta y luego copiar y reenviar los mensajes pero sustituyendo los enlaces originales con enlaces maliciosos. A través de supuestas contraseñas filtradas, que nos exigen cambiar la contraseña de nuestras cuentas a través del link que nos mandan, pero que en realidad son una copia de la página original donde escribimos nuestras credenciales y así son robadas, phishing por SMS y un largo etcétera.
Suscríbete a nuestro newsletter.
Mantente informado con las mejores prácticas y estrategias para hacer comercio electrónico y crecer el negocio como una marca líder en tu industria.
¿Cómo identificar si un correo electrónico es legítimo o es Phishing?
Hay varios factores a tener en cuenta a la hora de poder identificar si un email es un intento de phishing o no. Es bastante habitual, sobretodo en los mensajes en castellano, que la ortografía no esté cuidada y en algunos casos la traducción se nota que está hecha en algún traductor online, haciendo que el mensaje pueda tener poco sentido en algún aspecto, frases mal creadas o en tiempos verbales extraños, en estos casos más “burdos” probablemente el encabezado comience con un saludo genérico como “Estimado cliente”, en vez del nombre del destinatario o quizá usen parte de nuestra dirección de mail para usarla de nombre al saludarnos.
Otra parte importante es fijarnos en la dirección del remitente, aunque conozcamos al remitente tenemos que tener en cuenta cuál es nuestra comunicación habitual con él, sobre todo en casos como mensajes recibidos por parte de nuestro CEO, o algún compañero con el que no trabajamos estrechamente. Una pista importante es cuando nos urgen a hacer click en algún enlace y luego nos piden credenciales de algún tipo, según el instituto SANS el 95% de los ataques a las redes de la empresa empiezan a través de phishing.
Si la cuenta no es conocida o tenemos la más mínima sospecha de que podría ser phishing nos fijaremos en cualquier URL que compartan con nosotros, los piratas informáticos crean versiones falsificadas de sitios legítimos con URL que son muy parecidas y le urgen en sus mensajes de phishing a hacer clic en estos enlaces. Debemos estar atentos a los enlaces, puesto que en caso de ser un intento de phishing suelen tener errores deliberados, ya sean tipográficos (versiones ligeramente incorrectas de las URL legítimas) u ortográficos (cuando se hace uso de letras y caracteres de aspecto similar). Lea atentamente los enlaces antes de hacer clic en ellos.
- Unos ejemplos de enlaces, original: https://www.paypal.com/
- Ejemplo de enlaces falsos: http://www.paypals.com, http://www.webpaypal.com, http://www.paipal.com
Como podemos ver en el ejemplo anterior todas las direcciones son HTTP en vez de HTTPS y esa es otra señal de alarma ya que el protocolo HTTPS impide que otros usuarios puedan interceptar la información confidencial que se transfiere entre el cliente y el servidor web a través de Internet, por lo tanto si el enlace del mail nos lleva a una página HTTP y nos pide cualquier tipo de inicio de sesión o información esta es fácilmente interceptable. Este tipo concreto de ataque suele ser utilizado diciendo que nos han robado la contraseña de nuestro mail o cuenta del banco y nos pedirá ingresar nuestras credenciales en una página cuyo protocolo no es seguro para robarlas y utilizarlas en beneficio propio.
Otra característica muy importante de este tipo de mails es la urgencia de los mismos, nos piden hacer click rápidamente en los enlaces bajo premisas como que vamos a perder 20.000€, que nuestra tarjeta va a ser cancelada para compra online etc. Cuando es ampliamente conocido que las empresas avisan con tiempo de antelación antes de cortar nuestro acceso a nada.
De igual manera si recibimos un mensaje del banco en el que nos urgen a entrar en un link y al hacer click en el link este nos lleva a una página donde piden nuestros datos bancarios para poder continuar con el proceso (teniendo en cuenta que el banco sabe perfectamente cuál es nuestra cuenta y tarjeta) deberemos sospechar. ¿Que clase de compañía con la que trabajamos nos pide unos datos que ya tiene? Una manera de evitar este problema en concreto es, en lugar de usar el link que viene en el email, nos conectaremos a la web de nuestro proveedor de servicios y desde allí navegaremos hasta el punto que nos indica el mail, asegurándonos así la veracidad del sitio y si el problema es real.
Hay herramientas que nos ayudan a detectar este tipo de emails, por ejemplo: Phishing detector de Microsoft o esta extensión de Chrome para detectar phishing en páginas bancarias. Bitdefender en su versión móvil detecta los links fraudulentos en los SMS que recibimos poniéndonos bajo aviso sobre el peligro de los mismos.
Conclusión.
Como hemos visto a lo largo de este artículo el Phishing puede ocurrir a partir de un amplio conjunto de técnicas de engaño. Conocer los diferentes tipos y técnicas que los estafadores digitales utilizan, pueden ayudarnos tanto en lo personal como a nivel empresarial, a mantenernos protegidos de cualquier robo de información sensible.
Además del uso de las herramientas que pueden ayudarnos a detectar los múltiples tipos de fraude electrónico que existen, si tienes un ecommerce, también puedes apoyarte en un equipo de profesionales especializados en la ciberseguridad, quienes tienen el conocimiento para diseñar una estrategia de seguridad a la medida, que te ayude a minimizar las pérdidas producto de ataques y engaños.