A la hora de plantearse cuál es la mejor forma de proteger sus sistemas y datos contra el phishing, resulta útil saber a qué se enfrenta. Existe una gran cantidad de terminología especializada en phishing, y deberá familiarizarse con ella para asegurarse de que protege su empresa de la mayor amenaza actual: el 90 % de los incidentes que acaban en una filtración de datos comienzan con un correo electrónico de phishing. A continuación, le presentamos algunos tipos comunes de ataques de phishing a los que podría enfrentarse su empresa.
Ataque de toma de control de cuentas (ATO)
La apropiación de cuentas es una forma de robo de identidad y fraude. El objetivo de un ataque de apropiación de cuentas (ATO) es que un tercero malintencionado obtenga y utilice las credenciales de la cuenta de un usuario. Esto permite a los delincuentes hacerse pasar por empleados legítimos de una organización para llevar a cabo actividades delictivas, como enviar correos electrónicos de phishing, robar datos confidenciales, instalar malware o acceder a otras cuentas dentro de la organización.
Angler Phishing
El angler phishing consiste en la suplantación de identidad a través de las redes sociales. Esto puede incluir hacerse pasar por una cuenta de servicio al cliente en las redes sociales, estafas BEC utilizando servicios de mensajería, publicidad engañosa y otros usos de los perfiles y herramientas de las redes sociales para facilitar el fraude. La red social más utilizada para el angler phishing es LinkedIn.
Compromiso del correo electrónico empresarial
El correo electrónico comercial comprometido (BEC) -a veces llamado cuenta de correo electrónico comprometida (EAC)- es una estafa que utiliza cuentas de correo electrónico legítimas (o recién robadas) de una empresa de confianza para adquirir fraudulentamente dinero, información personal, detalles financieros, pagos, números de tarjetas de crédito y otros datos de una empresa. Estas estafas también van dirigidas a empresas que utilizan transferencias bancarias, proveedores extranjeros y otras transacciones con facturas.
Fraude al CEO
El fraude del director general es un tipo de ataque en el que el atacante se hace pasar por el director general de una empresa o por otro alto cargo para engañar a un empleado y que este realice una acción al margen de los canales habituales. En una operación de fraude del director general, el atacante puede intentar que la víctima transfiera dinero a una cuenta bancaria a su nombre, envíe información confidencial de recursos humanos, compre tarjetas de prepago, autorice transacciones fraudulentas, pague una factura o revele información sensible.
Phishing por clonación
Un ataque tipo Clone Phishing utiliza un correo electrónico legítimo o enviado previamente desde una fuente legítima que contiene archivos adjuntos o enlaces para engañar al objetivo con el fin de que descargue malware, visite un sitio web malicioso o proporcione credenciales e información. Por lo general, el correo electrónico se falsifica para que parezca enviado por el remitente original y puede afirmar que se trata de un reenvío o de una oferta especial de una fuente en la que el objetivo confía. Esta técnica también puede utilizarse para enviar mensajes falsos del sistema o comunicaciones rutinarias de sitios de redes sociales y tiendas.
Ransomware de doble extorsión
En un ataque de ransomware de doble extorsión, los ciberdelincuentes que han logrado burlar las medidas de seguridad y se han apoderado de los datos o los sistemas de una organización exigirán varios pagos a cambio de mitigar el ataque, descifrar los datos y los sistemas, o devolver los datos robados de forma segura. Por ejemplo, un actor malicioso puede exigir un rescate a cambio de proporcionar a la víctima una clave de cifrado para desbloquear su base de datos cifrada y no hacer una copia de los datos robados. Los ciberdelincuentes rara vez cumplen estas promesas. Esta técnica se utilizó en varias estafas de phishing a gran escala relacionadas con la COVID-19.
Falso positivo
Un falso positivo es un error de diagnóstico del software de seguridad del correo electrónico que considera que un mensaje entrante es phishing o spam y, a continuación, lo envía a cuarentena al tiempo que alerta al personal de TI sobre el posible problema. El software de seguridad del correo electrónico con una alta tasa de falsos positivos puede provocar fatiga por alertas en el personal de TI u ocupar un tiempo valioso (y costoso) que el personal desperdicia investigando, evaluando y gestionando cada alerta.
URL maliciosa
Una URL maliciosa es un enlace creado para promover estafas, ataques y fraudes. Estas URL pueden parecer legítimas, pero a menudo contienen pequeñas desviaciones del sitio web real de una organización. El objetivo será entonces manipulado para que proporcione contraseñas, números de cuenta, credenciales y otra información sensible. Los ciberdelincuentes también utilizan las URL maliciosas para inducir a las víctimas a descargar programas maliciosos, como ransomware, programas de skimming, keyloggers, troyanos, virus y otros códigos maliciosos.
Malware
Este término general puede utilizarse para englobar cualquier fragmento de código o programa creado con el propósito específico de causar daños a los sistemas y datos de un objetivo. Algunos tipos comunes de malware son virus, gusanos, troyanos, puertas traseras, troyanos de acceso remoto (RAT), rootkits, keyloggers, estafadores de pago, ransomware y spyware/adware. Todos los días se compran y venden programas maliciosos en la red oscura.
Phishing (ataque de phishing, estafa de phishing)
En una estafa de phishing, el delincuente se hace pasar por una empresa legítima o una persona de confianza para convencer a la víctima de que realice una acción que contribuya al objetivo de la operación, como facilitar al malhechor su contraseña, descargar un archivo adjunto cargado de malware o hacer clic en un enlace malicioso. La mayoría de las campañas de phishing comienzan con la recopilación por parte de los ciberdelincuentes de información sobre sus objetivos, como direcciones de correo electrónico, datos de identificación personal (IPI) y otros detalles pertinentes de mercados de la dark web y volcados de credenciales. A veces, los que practican el phishing también utilizan mensajes preexistentes de marcas reputadas y los clonan para que parezcan dignos de confianza, un proceso denominado spoofing. En definitiva, el phishing es un tipo de fraude. El phishing también es ilegal en muchos países, incluido Estados Unidos.
Cuarentena
Cuando el software de seguridad del correo electrónico y antiphishing considera que un mensaje entrante supone una amenaza, dicho mensaje se traslada a un espacio especialmente segmentado hasta que el personal de TI pueda comprobar su seguridad. A continuación, el personal de seguridad puede eliminar el mensaje de forma segura o reenviarlo al destinatario previsto. Un mensaje que se envía a cuarentena pero que no es malicioso se denomina «falso positivo» (véase «Falso positivo»).
Ransomware
Esta forma de malware, increíblemente devastadora, es el arma preferida de los ciberdelincuentes actuales, incluidos los actores estatales. El ransomware tiene como objetivo cifrar datos o sistemas para impedir que la víctima acceda a dichos recursos. En el tipo de ataque de ransomware más habitual, los delincuentes cifran los archivos de la víctima y exigen el pago de un rescate para descifrarlos o recuperarlos. Las bandas de ransomware suelen exigir el pago en forma de bitcoins (una moneda digital imposible de rastrear). El ransomware también puede utilizarse para cerrar fábricas, entorpecer o paralizar los servicios públicos, interferir en el envío y el transporte, robar investigaciones y fórmulas, y causar otros daños.
Ataque de Smishing
Llamado así por la tecnología SMS (servicio de mensajes cortos) utilizada para enviar mensajes de texto, el smishing es un intento de fraude que utiliza un teléfono móvil. En estos casos, un atacante utiliza un mensaje de texto convincente para engañar a los destinatarios para que hagan clic en un enlace, envíen información privada al atacante, entreguen contraseñas y credenciales o realicen cualquier otra acción que permita al malhechor obtener beneficios.
Ingeniería social
Todo phishing es, en cierta medida, ingeniería social. Las estafas basadas en la ingeniería social se construyen en torno a la manipulación de la forma de pensar y actuar de las personas. En el contexto del phishing, los delincuentes utilizan medios engañosos para inducir o asustar a sus objetivos para que realicen una acción. Esta acción puede consistir en facilitar información confidencial, entregar contraseñas, enviar pagos, descargar programas maliciosos, visitar un sitio web, abrir un archivo adjunto o, en general, hacer algo que permita a los malhechores facilitar la ciberdelincuencia.
Spear phishing
El spear phishing constituye la mayor parte del panorama del phishing. Cualquier ataque de phishing que utilice contenido y detalles personalizados para inducir a la víctima a una falsa sensación de seguridad se considera spear phishing. Los delincuentes pueden utilizar información recopilada de fuentes de acceso público, redes sociales o mercados y bases de datos de la dark web para crear un correo electrónico que resulte especialmente atractivo y parezca legítimo para la víctima. El spear phishing se basa en gran medida en la ingeniería social y, por lo general, se considera el tipo de ataque de phishing más sofisticado. El BEC, el fraude al director ejecutivo, el whaling y otros ciberataques dirigidos a personas emplean técnicas de spear phishing. Esta es la técnica más común utilizada para distribuir ransomware.
Suplantación de identidad
La suplantación de identidad es el acto de disfrazar una comunicación procedente de una fuente desconocida mediante el engaño para que parezca que procede de una fuente conocida y de confianza. Los ciberdelincuentes pueden falsificar todo tipo de cosas, como correos electrónicos, llamadas telefónicas y sitios web, direcciones IP y otras comunicaciones digitales. Estas herramientas se utilizan después para facilitar las operaciones de phishing y otros delitos informáticos.
Modelización de amenazas
El modelado de amenazas es un proceso estructurado mediante el cual los profesionales de TI pueden identificar posibles amenazas de seguridad y vulnerabilidades, cuantificar la gravedad de cada una de ellas y priorizar las actualizaciones o cambios que permitan a las organizaciones mitigar los ataques y proteger los recursos de TI. Esta técnica ayuda a las empresas a detectar fallos en sus defensas, identificar vectores de ataque que puedan haber pasado por alto o detectar debilidades que podrían surgir más adelante, así como a determinar qué soluciones se adaptan mejor a sus necesidades. Se trata de una herramienta especialmente importante cuando las empresas están llevando a cabo transiciones, como el paso del teletrabajo al modelo híbrido.
Ataque de vishing
Un ataque de vishing (phishing de voz o VoIP) es una estafa electrónica en la que los ciberdelincuentes utilizan técnicas de ingeniería social y spear phishing para realizar fraudes por teléfono. En estas estafas, se engaña a las víctimas para que revelen detalles financieros críticos, contraseñas, datos empresariales o información personal a entidades no autorizadas por correo electrónico de voz, smartphone, VoIP o teléfono fijo anticuado.
Whaling Attack / Phishing ejecutivo
El whaling es un ataque de phishing muy selectivo dirigido a titulares de cuentas privilegiadas y ejecutivos con poder de decisión. A veces denominado phishing ejecutivo, el whaling es un tipo de ataque de phishing que combina elementos del spear phishing y la ingeniería social para seducir a una persona privilegiada para que proporcione a los ciberdelincuentes dinero, información, credenciales, contraseñas, permisos, fórmulas, códigos, números de cuenta o acceso a otros activos empresariales sensibles. A veces esta técnica también se utiliza para desplegar ransomware u otro malware.
Amenaza de día cero
Una amenaza de día cero es una amenaza nueva, recién descubierta o por descubrir. Por lo general, estas amenazas son desconocidas y no están documentadas. Este tipo de fallo es inherente al software que opera dentro de un estricto y estático conjunto de parámetros que requiere que las correcciones, actualizaciones e inteligencia sobre amenazas se carguen manualmente. Las amenazas de día cero suelen neutralizarse mediante parches de software o cambios de configuración y pueden ser muy complejas de gestionar (y muy susceptibles de ser encontradas y explotadas por los ciberdelincuentes).
¡Deja de preocuparte por el phishing! Pon en marcha Graphus Email Security para disfrutar de una protección inteligente, basada en IA y siempre activa contra la mayor amenaza actual, a un precio que te encantará.
Si tienes Graphus, estás protegido contra los ataques de phishing más comunes. Graphus y bloquea un 40 % más de correos electrónicos de phishing que la competencia y acaba con los antiguos SEG. ¿Por qué dedicar tu valioso tiempo (o el de tu personal de TI) a combatir el phishing cuando podrías emplearlo en hacer crecer tu negocio? Deja que el Graphus patentado Graphus , basado en inteligencia artificial, se encargue de todo. Y, si aún no tienes Graphus, ¿a qué esperas?
¡Hablemos de las ventajas que te ofrece la defensa automatizada contra el phishing con Graphus! SOLICITA UNA DEMOSTRACIÓN>>
