Uno de los trucos más antiguos del libro de jugadas sobre cibercrimen es el phishing. Llegó a la escena digital por primera vez en 1995, en un momento en que millones acudían a America Online (AOL) todos los días. Y si sabemos una cosa sobre los ciberdelincuentes, es que tienden a seguir a las masas. En iteraciones anteriores, los intentos de phishing eran fáciles de detectar debido a errores ortográficos de enlaces, redireccionamientos de enlaces extraños y otros obsequios. Sin embargo, los trucos de phishing actuales se han personalizado, avanzado y envuelto en nuevos disfraces. Entonces, echemos un vistazo a algunos de los diferentes tipos, ejemplos del mundo actual y cómo puede reconocer un señuelo de phishing.
Tenga cuidado con los correos electrónicos sospechosos
Todos los días, los usuarios reciben miles de correos electrónicos. Algunos son importantes, pero la mayoría son simplemente basura. Estos correos electrónicos a menudo se filtran a una carpeta de correo no deseado, donde correos electrónicos de phishing a menudo están atrapados Pero a veces se deslizan a través de las grietas digitales, en una bandeja de entrada principal. Estos mensajes suelen tener solicitudes urgentes que requieren que el usuario ingrese información confidencial o entire un formulario a través de un enlace externo. Estos correos electrónicos de phishing pueden asumir muchas personas, como instituciones bancarias, servicios populares y universidades. Como tal, recuerde siempre mantenerse alerta y verificar la fuente antes de revelar cualquier información.
Enlace Glance-A-Likes
Una especie de hermano del phishing por correo electrónico, manipulación de enlaces es cuando un ciberdelincuente envía a los usuarios un enlace a un sitio world wide web malicioso bajo el engaño de una solicitud urgente o una fecha límite. Después de hacer clic en el enlace engañoso, el usuario es llevado al sitio world-wide-web falso del ciberdelincuente en lugar de un enlace authentic o verificado y se le pide que ingrese o verifique sus datos personales. Este escenario exacto sucedió el año pasado cuando varias universidades y empresas cayeron en una campaña disfrazada como un problema de entrega de paquetes de FedEx. Este esquema es un recordatorio de que cualquiera puede caer en una trampa de ciberdelincuentes, por lo que los usuarios siempre deben tener cuidado al hacer clic, así como garantizar la validez del reclamo y la fuente del enlace. Para verificar la validez, siempre es una buena concept ponerse en contacto directamente con la fuente para ver si la notificación o solicitud es legítima.
La caza de ballenas
Los ejecutivos corporativos siempre han sido objetivos de alto nivel para los cibercriminales. Es por eso que los miembros de C-suite tienen un nombre especial para cuando los ciberdelincuentes intentan phishing: ballenero. Lo que suena como un nombre tonto es cualquier cosa menos eso. En este ataque sofisticado y personalizado, un cibercriminal intenta manipular al objetivo para obtener dinero, secretos comerciales o información de los empleados. En los últimos años, las organizaciones se han vuelto más inteligentes y, a su vez, la caza de ballenas se ha ralentizado. Sin embargo, antes de la desaceleración, muchas compañías sufrieron violaciones de datos debido a que los ciberdelincuentes se hicieron pasar por miembros de la C-suite y pidieron información de la compañía a los empleados de nivel inferior. Para evitar este molesto intento de phishing, capacite a los miembros de C-suite para que puedan identificar el phishing, así como fomentar contraseñas únicas y seguras en todos los dispositivos y cuentas.
Objetivo de lanza adquirido
Así como el correo electrónico no deseado y la manipulación de enlaces son hermanos de phishing, también lo son la caza de ballenas y phishing. Si bien los ataques de caza de ballenas se dirigen a la suite C de una organización específica, la suplantación de identidad (phishing) se dirige más bien a los empleados de nivel inferior de una organización específica. Tan selectivo y sofisticado como la caza de ballenas, la suplantación de identidad se dirige a miembros de una organización específica para obtener acceso a información crítica, como credenciales de personalized, propiedad intelectual, datos de clientes y más. Los ataques de phishing tienden a ser más lucrativo que un ataque de phishing común y corriente, por lo que los ciberdelincuentes a menudo pasan más tiempo elaborando y obteniendo información own de estos objetivos específicos. Para evitar caer en este esquema de phishing, los empleados deben tener una capacitación de seguridad adecuada para que sepan detectar un señuelo de phishing cuando lo vean.
Contenido falso
Con tantas cosas para hacer clic en un sitio website, es fácil ver por qué los ciberdelincuentes se aprovecharían de ese hecho. Suplantación de contenido se basa exactamente en esa noción: un ciberdelincuente altera una sección de contenido en una página de un sitio website confiable para redirigir a un usuario desprevenido a un sitio internet ilegítimo donde luego se les pide que ingresen datos personales. La mejor manera de evitar este esquema de phishing es verificar que la URL coincida con el nombre de dominio principal.
Phishing en un estanque de motor de búsqueda
Cuando los usuarios buscan algo en línea, esperan recursos confiables. Pero a veces, los sitios de phishing pueden colarse en resultados legítimos. Esta táctica se llama phishing en motores de búsqueda e implica que los motores de búsqueda sean manipulados para mostrar resultados maliciosos. Los usuarios se sienten atraídos por estos sitios mediante ofertas de descuento para productos o servicios. Sin embargo, cuando el usuario va a comprar dicho producto o servicio, el sitio engañoso recopila sus datos personales. Para mantenerse seguro, tenga cuidado con los anuncios potencialmente incompletos en specific y, en caso de duda, siempre navegue primero al sitio oficial.
¿Quién es esa persona que llama?
Con las nuevas tecnologías surgen nuevos caminos para que los ciberdelincuentes intenten obtener datos personales. Vishing, o phishing de voz, es una de esas nuevas vías. En un intento de compra, los ciberdelincuentes se comunican con los usuarios por teléfono y le solicitan que marque un número para recibir una cuenta bancaria identificable o información personalized a través del teléfono mediante una identificación de llamada falsa. Por ejemplo, solo el año pasado, un investigador de seguridad recibió una llamada de su institución financiera diciendo que su tarjeta había sido comprometida. En lugar de ofrecer una tarjeta de reemplazo, el banco sugirió simplemente bloquear cualquier transacción geográfica específica futura. Sintiendo que algo estaba pasando, el investigador colgó y marcó su banco no tenían registro de la llamada ni de las transacciones fraudulentas con tarjeta. Este escenario, tan sofisticado como parece, recuerda a los usuarios que siempre deben verificar directamente con las empresas antes de compartir cualquier información individual.
Como puede ver, el phishing viene en todas las formas y tamaños. Este weblog solo rasca la superficie de todas las formas en que los cibercriminales atraen a los usuarios desprevenidos a trampas de phishing. La mejor manera de mantenerse protegido es invertir en seguridad integral y mantenerse actualizado sobre nuevas estafas de phishing.
¿Busca más consejos y tendencias de seguridad? Asegúrate de seguir @McAfee Inicio en Twitter, y nos gusta en Fb.
