[Octubre ciberseguridad] Trucos más usados en el Phishing este año

Con el objetivo de engañar a la víctima, de atravesar las barreras de seguridad, los ciberdelincuentes utilizan diferentes trucos para el Phishing. Sin embargo, algunos están más presentes y conviene conocerlos. Una de las técnicas más utilizadas en los últimos meses relacionadas con la suplantación de identidad tiene que ver con las reglas de conducta […]

Con el objetivo de engañar a la víctima, de atravesar las barreras de seguridad, los ciberdelincuentes utilizan diferentes trucos para el Phishing. Sin embargo, algunos están más presentes y conviene conocerlos.

Una de las técnicas más utilizadas en los últimos meses relacionadas con la suplantación de identidad tiene que ver con las reglas de conducta en una empresa. Supuestamente desde RRHH envían un correo al trabajador para informarle de nuevas pautas, tareas o cambios. La víctima abre el link pensando que realmente se trata de algo importante de la empresa y que debe conocer.

Otro truco muy utilizado es sobre la entrega de bonos Envían un e-mail o SMS donde se informa la entrega de un bono. El problema, una vez más, es que al hacer clic en ese enlace o descargar ese archivo en realidad están ante un fraude.

El tercer truco en la lista está muy relacionado con la situación actual. Se trata de un correo electrónico que nos envían desde nuestra empresa para indicarnos las horas y fechas en las que van a hacer un mantenimiento y no podremos acceder a los equipos informáticos. Hoy en día muchos usuarios trabajan en remoto, por lo que están accediendo desde sus casas a esos sistemas y quieren conocer cuándo no va a funcionar.

Las tareas nuevas asignadas también están muy presentes en los ataques Phishing. Intentan hacer creer a la víctima que tiene que utilizar herramientas o funciones nuevas en su día a día. El usuario, trabajador en este caso, abre ese correo para consultar qué es lo que debe realizar.

La quinta estrategia muy utilizada es la de simplemente comprobar que el sistema funciona a través de un correo. La víctima recibe ese e-mail donde les indican que deben hacer clic en un enlace para verificar que el sistema funciona correctamente. Algo tan sencillo y rápido como eso.

En definitiva, estas cinco estrategias han sido muy utilizadas durante este año para llevar a cabo ataques Phishing. Como siempre decimos, el sentido común debe estar presente y no cometer errores.

Smishing: los cibercriminales atacan a través de SMS

El smishing es una técnica de ingeniera social por la cual los cibercriminales atacan de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS simulando ser un destinatario legítimo como un banco, una red social, una institución pública o una aplicación de uso extendido. El objetivo de estos ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima, instando al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta. Lo que hace tan peligroso este tipo de ciberataques es la falta de costumbre y prevención por parte de los usuarios.

Los ataques de phishing o spam son muy habituales en los correos electrónicos pero los SMS continúan siendo considerados por los usuarios como envíos legítimos, ya que suelen ser utilizados para comunicación personal, notificaciones del banco, líneas áreas o códigos de un solo uso para validar operaciones o accesos. Es por este motivo por el que los ciberdelincuentes los están incorporando a su repertorio de técnicas de ataque para acceder a los datos de los usuarios.

Phishing vía Twitter

El Phishing a través de Twitter -y otras redes sociales también- es una tendencia en aumento que afecta principalmente al sector financiero.

Cada vez vemos más anuncios fraudulentos en redes sociales que simulan ser de una compañía real pero que simplemente nos llevan a un sitio fake que busca robar nuestros datos. De hecho, a través de un simple hecho podemos recordar lo frágil que son los usuarios en redes sociales, como lo fue cuando ciberdelincuentes tomaron el control de varias cuentas verificadas para hacer campañas de bitcoin.

De hecho, investigadores plantean que los usuarios de Twitter creen ciegamente que las direcciones de correo electrónico están seguras mostrándolas al público.

Sin embargo, al difundir públicamente el correo electrónico, por ejemplo en una red social, lo está conectando con el nombre, ubicación e información social. ¿Qué pueden hacer los ciberdelincuentes con eso? Fácil, explotar esta información para dirigir olas de ataques de phishing a individuos y negocios haciéndose pasar como amigos o asociados de los usuarios para persuadirlos de dar clic en los enlaces maliciosos. 

Esta colección de datos también puede permitir a los criminales comprometer las cuentas de correo electrónico, preparando el camino para una mayor actividad maliciosa incluyendo el acceso a cuentas bancarias, cosechando contraseñas adicionales y lanzando importantes campañas de spam.

”Las empresas que utilizan medios sociales para comunicarse con los clientes necesitan considerar formas de asegurarse de que los empleados estén protegidos contra estas nuevas amenazas. Las empresas también deben reevaluar las políticas de uso aceptable para disuadir al personal de compartir direcciones de correo electrónico en Twitter”, señala el investigador en ciberseguridad Carl Leonard.