Hola shures
Durante este año el gobierno de España ha sido víctima de varios hackeos en los que se han visto comprometidos los datos de millones de españoles. Estas bases de datos las podemos encontrar actualmente en la deep web a un precio desmesurado, lo que nos da a entender que la jugosidad de estos datos es increíblemente alta y supone el inicio de una era de ataques de phising contra la población de España. Por ello se me ha ocurrido hacer un post en el que hablar sobre las técnicas de phising más efectivas con las que los malos pueden conseguir fácilmente que caigamos en sus trampas. También explicaré ejemplos y cómo podemos evitar ser víctimas de estos ataques.
Como siempre, no me hago responsable del uso indebido de esta información y el objetivo de este artículo es poner en conocimiento a los shurmanos de las técnicas de phising más efectivas y comunes.
1. Phishing emails con attachments:
Estos tipos de correos electrónicos intentan hacer que el usuario descargue un archivo malicioso que contiene malware, generalmente un troyano. El objetivo es obtener acceso a la cuenta del usuario o robar información confidencial o simplemente tener acceso a esa cuenta para operar desde ella con otro objetivo.
Ejemplo: Recibes un correo electrónico de una empresa bancaria que te pide descargar un archivo para actualizar tu contraseña.
Recomendación: Nunca descargas archivos de correos electrónicos desconocidos, especialmente si no estás seguro de su procedencia. En lugar de eso, ve a la página web oficial de la empresa y sigue sus instrucciones para actualizar tu información personal.
2. Phishing emails con enlaces:
Estos tipos de correos electrónicos intentan hacer que el usuario haga clic en un enlace malicioso que lleva a una página web falsa. La página web falsa puede pedir que el usuario proporcione información confidencial.
Ejemplo: Recibes un correo electrónico de una tienda online que te pide que hagas clic en un enlace para verificar tu cuenta. El malo recibirá en su computadora automáticamente datos jugosos sobre tu cuenta en esa plataforma concreta, además de tu ubicación y especificaciones de tu navegador web.
Recomendación: Nunca hagas clic en enlaces de correos electrónicos desconocidos. En lugar de eso, ve a la página web oficial de la empresa y sigue sus instrucciones para verificar tu información personal. Es importante fijarse con detenimiento en el dominio de la página web a la que nos dirige el enlace y comprobar si es el sitio web oficial. Los malos suelen usar dominios web con pequeñas diferencias que resultan inapreciables sino nos paramos un momento a leer el dominio.
3. Whaling:
Es un tipo de phishing dirigido a personas importantes o con acceso a información confidencial. Los hackers tratan de convencer a estas personas para que proporcionen información valiosa.
Ejemplo: Recibes un correo electrónico de alguien que se hace llamar como tu jefe y te pide que proporciones información sobre las operaciones de un usuario o personal de la propia empresa.
Recomendación: Nunca proporcionas información personal o confidencial a alguien que no sea autorizado para recibirla. Comprueba el dominio asociado de ese correo electrónico y confirma con tus superiores la solicitud de esa información.
4. Spear Phishing:
Es un tipo de phishing que se enfoca en una persona en particular. Los hackers tratan de convencer a esta persona para que proporcione información valiosa.
Ejemplo: Recibes un correo electrónico que se hace pasar por un banco que te pide que proporciones información sobre tus operaciones financieras, cuenta bancaria u otros datos jugosos.
Recomendación: Nunca proporcionas información personal o confidencial a alguien que no sea autorizado para recibirla. El Spear Phising también puede verse en plataformas como Trello, Discord, WhatsApp etc.
5. Smishing:
Es un tipo de phishing que utiliza SMS o mensajes de texto para obtener información sobre ti.
Ejemplo: Recibes un mensaje de texto de la oficina de Correos indicando que tienes un paquete pendiente de ser recogido y que te pide que proporciones tus datos personal, tales como el DNI y tu nombre y apellidos.
Recomendación: Nunca proporcionas información personal. Por lo general ninguna empresa o cualquier otro servicio se comunicará contigo vía SMS para que confirmes tu identidad. Haz caso omiso de estos mensajes y bloquea el teléfono desde el que recibes esa comunicación. Los hacker malos son capaces incluso de que en tu teléfono aparezca el nombre oficial del servicio en cuestión.
6. Vishing:
Es un tipo de phishing que utiliza llamadas telefónicas para obtener información sobre ti.
Ejemplo: Recibes una llamada telefónica que se hace pasar por una empresa que te pide que proporciones tu información personal. Generalmente, cualquier servicio web cuenta con claves de verificación que tendrás que confirmar durante la llamada. El operador operadora te confirmará parte de esa clave de verificación y tú deberás completar la info con el resto de la clave. Si esto no sucede, cuelga la llamada. También está comprobado que durante estas llamadas se exige al usuario que actúe rápido y proporcione la información bajo presión, esto nunca sucederá con un servicio oficial.
Recomendación: Nunca proporcionas información personal o confidencial a alguien que no esté autorizado para recibirla. El protocolo de seguridad en este tipo de llamadas exige que el usuario sea avisado de los datos que va a proporcionar y en consecuencia el operador debe informar que esa llamada se está grabando por la seguridad tanto de la empresa como del usuario.
7. Angler Phishing:
Es un tipo de phishing que utiliza páginas web falsas que intentan convencer a los usuarios de proporcionar información valiosa.
Ejemplo: Recibes un correo electrónico que te pide que hagas clic en un enlace para verificar tu cuenta y, cuando haces clic en el enlace, te lleva a una página web falsa con la apariencia de la web oficial que te pide proporciones información personal o tus credenciales de acceso o el cambio de la contraseña de acceso.
Recomendación: Nunca proporciones tus credenciales de acceso en una web que no sea la oficial de la plataforma que estés usando. Por lo general, en el momento de realizar cambios de contraseña o confirmación de credenciales se reciben emails de confirmación durante el proceso de verificación como protocolo de seguridad. Comprueba el dominio desde el que se envía ese correo electrónico y se cuidadoso. Estos enlaces a páginas web falsas también pueden extraer información valiosa como tu ubicación o datos referentes al dispositivo o navegador web que estés utilizando.
8. Whaling 2.0:
Es un tipo de phishing que utiliza la creación de cuentas falsas en redes sociales para engañar a las personas importantes y obtener información sobre ellas.
Ejemplo: Recibes un mensaje directo en Instagram o Twitter indicando es un compañero de trabajo, un superior de tu empresa o personal de la empresa sin más. Durante la conversación con este individuo/a se trata de extraer información jugosa referente a la empresa y que es susceptible de comprometer los protocolos de seguridad o la integridad de la empresa.
Recomendación: Nunca proporcionas información jugosa fuera del entorno de trabajo. Nadie en su sano juicio se pondrá en contacto a través de redes sociales fuera de su horario laboral para tratar temas del trabajo. Simplemente ignora estos mensajes o trata de confirmar con esa persona quue realmente te está hablando por la red social en cuestión.
9. Spear Phishing Attacks:
Son ataques personalizados que se enfocan en una persona en particular. Los hackers tratan de convencer a esta persona para que proporcione información valiosa sobre algún proceso en curso de la empresa o algún protocolo de seguridad, verificación de credenciales, confirmación de identidad de algún compañero de trabajo, etc. Este tipo de ataques se han visto en espionaje industrial o durante campañas en las que se puede comprometer información valiosa sobre la empresa en cuestión.
Ejemplo: Recibes un correo electrónico que se hace pasar por la empresa en la que trabajas y te pide información concreta sobre algún proceso que esté realizando la empresa en ese momento, tales como proyectos, transferencias bancarias o relaciones con otras empresas del mismo sector.
Recomendación: Nunca proporcionas información personal o confidencial a alguien que no sea autorizado para recibirla. Confirma la autoría de las comunicaciones y pon en conocimiento a tus superiores del intento de phinsing.
10. Pharming:
Es un tipo de phishing que utiliza técnicas de DNS spoofing para redirigir usuarios hacia sitios web falsos.
Ejemplo: Recibes un correo electrónico que te pide que hagas clic en un enlace para verificar tu cuenta y, cuando haces clic en el enlace, te lleva a una página web falsa que te pide proporciones información personal. Estos emails se envían de forma masiva sin tener en cuenta si quiera si esa persona utiliza ese servicio en cuestión. Por ejemplo, siendo usuario de Android te envían un email desde Apple para que confirmes tus credenciales.
Recomendación: Nunca proporcionas información personal o credenciales por medio de email. Revisa el dominio web desde el que recibes el correo electrónico. Normalmente este tipo de ataques se realizan desde el extranjero y los hacker usan traductores. Contrasta esas comunicaciones con emails recibidos anteriormente para comprobar la forma de escribir. Generalmente tienen fallos garrafales de gramática y esto nos puede dar a entender la veracidad de esa comunicación.
Espero que este post haya sido de tu agrado. Trato de ponerte en conocimiento de las técnicas de phising más efectivas. Si encuentras este post incompleto te ruego que aportes más información en los comentarios para que el resto de shurmanos sean conocedores de las situaciones en las que se pueden ver envueltos. También, si has sido víctima de phising alguna vez sería interesante que nos contaras cómo se pusieron en contacto contigo los malos y aportar información valiosa a este post.
Como siempre, gracias por leer y finalizo este post con una cita de Bruce Schneier, famoso escritor y divulgador de seguridad informática y criptógrafo para Counterpane Internet Security.
“Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología “
Ale
a correr
Última edición por un moderador:
en cualquier parte
