Un ataque de phishing es cuando los hackers intentan engañarlo para que comparta información sensible. Su meta es robar credenciales, números de tarjetas de crédito e información corporativa sensible. También podrían estar intentando infectar su computadora con malware.
Phishing se refiere al acto del intento de robo a través de dispositivos conectados. La acción puede ser manual o puede ejecutarse a través de una herramienta que automatiza el proceso. También puede ser una combinación que inicia con una herramienta programada que abre la puerta para el hacker, quien completa el ataque manualmente.
El término “phishing” se usó por primera vez en 1994 cuando un grupo de adolescentes obtuvieron números de tarjetas de crédito de usuarios de AOL. En 1995 crearon un programa llamado AOHell que automatizara su trabajo por ellos.
Desde entonces, los hackers han continuado inventando nuevas formas de obtener detalles de cualquier persona conectada al internet. Estos actores han creado un número de programas y tipos de software malicioso que aún están en uso actualmente. Algunas de estas herramientas fueron creadas con el propósito de las pruebas de penetración, o “hackear con permiso”. Una vez que existe una herramienta, sin embargo, los actores maliciosos pueden averiguar cómo usarla a su ventaja.
A través de los años, los hackers han logrado crear software malicioso específicamente para las aplicaciones de phishing. Una ejemplo es PhishX, el cual está diseñado para robar datos bancarios. Usando PhishX, los atacantes pueden crear un sitio bancario falso que parece ser legítimo y donde usted podría tener una cuenta. Personalizan la página con su número telefónico y dirección de correo. Hacer click en el botón de “Contáctenos” lo pone directamente en comunicación con ellos.
Phishing Frenzy es un ejemplo de una herramienta de phishing por correo originalmente creada para propósitos de pruebas de penetración. Phishing Frenzy probó ser amigable con los operadores y muchos hackers la usaron debido a su facilidad de uso.
Otra es Swetabhsuman8, la cual permite que los atacantes puedan crear páginas falsas de inicio de sesión para hackear cuentas de Instagram. Cuando intenta iniciar sesión, los hackers obtienen su usuario y contraseña.
Además de imitar sitios web, tener herramientas de phishing por correo y páginas maliciosas de inicio de sesión para robar su información, los hackers crean centros de llamadas conectados a un teléfono que usted recibe a través de uno de sus mensajes, sitios web falsos o emails.
Los actores de ransomware moderno típicamente buscan empresas más grandes para obtener el mayor botín posible. Tienden a pasar tiempo en conquistar cada sección de la red de la víctima hasta que lanzan su ataque de ransomware. Este tipo de ataque de múltiples etapas a menudo comienza con un sólo correo de phishing.
Aunque existen varios tipos de ataques de phishing, el phishing por correo se destaca por ser el más prevalente y reconocible. Este método de ataque se ha vuelto cada vez más sofisticado con la llegada del spear phishing, whaling y ataques “laser guided”. Los ataques de phishing también se han propagado desde programas de email hacia plataformas de comunicación, incluyendo mensajes de texto y redes sociales.
Los ataques de phishing incluyen:
Los hackers aman explotar nuestro mundo en línea. Lo logran al crear sitios web falsos o páginas de inicio de sesión para recolectar datos sensibles. Además de obtener acceso a números de tarjetas de crédito, cuentas bancarias y credenciales de redes sociales, los actores maliciosos buscan las redes sociales de sus amigos o colaboradores. Esto sucede cuando un criminal obtiene acceso a su cuenta y manda ataques de phishing a sus seguidores, amigos o colaboradores a través de mensajes directos. La popularidad de las redes sociales ha hecho que este método sea mucho más común a lo largo de la década pasada.
Hay varias cosas que puede hacer para protegerse a sí mismo. La primera y la más importante es tener cuidado.
Lo segundo que debe hacer es proteger sus cuentas. Las contraseñas deben tener cerca de o más de 20 caracteres. No es necesario tener las cuatro opciones de texto (minúsculas, mayúsculas, números y símbolos) en su contraseña. Dos o tres es suficiente, pero cambie las cosas cuando cree nuevas contraseñas. Mucha gente tiene problemas para recordar todas sus contraseñas. Cree una contraseña larga que pueda recordar. Bloquee el resto con un administrador de contraseñas como LastPass o Password Safe.
Entonces, lo más importante, habilite la autenticación de dos factores (2FA) en todas sus cuentas. Si la única opción que ofrece un sitio es usar su teléfono para recibir un mensaje de texto con una contraseña temporal, sería mejor que solamente usar una contraseña para el acceso.
El National Institute of Standards and Technology (NIST) ha retirado su soporte por las contraseñas de un solo uso por SMS. Una mejor solución sería crear una contraseña temporal por medio de una herramienta como Google Authenticator, Microsoft Authenticator, o LastPass Authenticator. Busque estas opciones en las configuraciones de sus cuentas.
Use las herramientas de software para ayudarle a vigilar cosas que podría pasar por alto. Use firewalls y herramientas de anti-virus, anti-malware y anti-phishing. Elija sabiamente su navegador. ¿El que usa lo protege de intentos de phishing? ¿Es posible agregar un plug-in? Si la respuesta es no, elija otro navegador.
Además de las recomendaciones para el personal descritas arriba, una organización debería hacer lo siguiente:
Artículos Relacionados
Investigaciones Relacionadas