Cuando navegamos por Internet son muchos los ataques a los que tenemos que enfrentarnos. Muchos tipos de malware que de una u otra forma ponen en riesgo nuestra seguridad y privacidad. Sin embargo una de las variedades de ataques más comunes y que más ha aumentado en los últimos tiempos son los ataques phishing. En este artículo vamos a hablar de ello de esta forma tendremos un mayor conocimiento para evitar ser víctimas.
Los distintos tipos de ataques de phishing abarcan desde los clásicos esquemas de phishing por email hasta enfoques más ingeniosos como los de spear phishing y smishing. Todos tienen el mismo objetivo: robar tu información personal.
Phishing por email
El phishing por email es el tipo más utilizado de phishing y se viene utilizando desde 1990. Los hackers envían estos emails a todas las dirección de correo que puedan conseguir.
El email generalmente te informa de que tu cuenta está comprometida y que necesitas responder de inmediato haciendo clic en el enlace proporcionado. Generalmente estos ataques son fáciles de detectar debido a que el lenguaje en el email contiene faltas de ortografía y/o gramaticales.
Algunos emails son difíciles de identificar como ataques de phishing, especialmente cuando el lenguaje y la gramática están más cuidados.
Comprobar la fuente del email y el enlace al que te están redirigiendo en busca de lenguaje sospechoso puede darte pistas sobre si el origen es o no legítimo.
Smishing
El smishing es un ataque que utiliza mensajes de texto o servicio de mensajes cortos (SMS) para ejecutarse.
Una técnica habitual de smishing es enviar un mensaje a un teléfono móvil mediante SMS y que contiene un enlace para hacer clic o devolver una llamada a un número de teléfono.
Un ejemplo común de un ataque de smishing es aquél en el que se envía un mensaje de SMS que parece proceder de tu banco. En este se te informa de que tu cuenta se ha visto comprometida y de que necesita responder inmediatamente. El atacante te pide que verifiques tu número de cuenta, etc. Una vez que el atacante recibe la información, obtiene el control de tu cuenta bancaria.
Vishing
El vishing tiene el mismo objetivo que otros tipos de ataques de phishing. Los atacantes siguen detrás de tu información personal o corporativa sensible. Este ataque se lleva a cabo a través de una llamada de voz. Es por eso que la palabra empieza por «v» en vez de por «ph».
Un ataque habitual de vishing incluye una llamada de alguien que dice ser un representante de Microsoft. Esta persona te informa de que han detectado un virus en tu ordenador. A continuación, te piden que proporciones la información de tu tarjeta de crédito para que el atacante pueda instalar una versión actualizada de un software antivirus en tu equipo. Ahora el atacante tiene la información de su tarjeta de crédito y seguramente te hayan instalado un malware en tu equipo.
El malware podría contener cualquier cosa, desde un troyano bancario hasta un bot (abreviatura de robot).
El troyano bancario vigila tu actividad online para robarte más información, a menudo, la de tu cuenta bancaria, incluida tu contraseña. Un bot es un software diseñado para realizar cualquier tarea que el hacker desee. Se controla con el comando y control (C&C) para minar bitcoins, enviar spam o lanzar un ataque como parte de un ataque de denegación de servicio distribuido (DdoS).
¿Sabías que la persona más afectada por phishing de una empresa suele ser el CEO? A parte de que la mayoría de malware que entra en un sistema es a consecuencia de un error humano.
Por razones como estas hemos creado Zepo, un entrenamiento de ciberseguridad para tu equipo, para que sepa cómo detectar este tipo de amenazas.
¿Quieres saber más?
