ataque de phishing

¿Cómo prevenir un ataque de phishing?

Escrito por
En este momento estás viendo ¿Cómo prevenir un ataque de phishing?

¿Cómo prevenir un ataque de phishing?

Una de las estafas de la nueva era…

Un ataque de phishing es un ataque de ingeniería social que a menudo se usa para robar datos de los usuarios. Entre los datos se incluyen credenciales de inicio de sesión y los números de tarjetas de crédito. Este fraude ocurre cuando un atacante, haciéndose pasar por una entidad confiable, engaña a la víctima. Aquí, lo engaña para que abra un correo electrónico, un mensaje instantáneo o un mensaje de texto. Luego, se persuade para que haga clic en un enlace malicioso. Esto conduce a la instalación de malware, la congelación del sistema como parte de un ataque de ransomware o la revelación de información confidencial.

Un ataque puede tener resultados devastadores. Para las personas, esto incluye compras no autorizadas, el robo de fondos o el robo de identidad.

Además, el phishing se usa a menudo para afianzarse en las redes corporativas o gubernamentales como parte de un ataque mayor. A esto se le puede conocer como un evento de amenaza persistente avanzada (APT). En este último escenario, los empleados se ven comprometidos para eludir los perímetros de seguridad, distribuir malware dentro de un entorno cerrado u obtener acceso privilegiado a datos protegidos.

Una organización que sucumbe a un ataque de este tipo suele sufrir graves pérdidas financieras, una disminución de la cuota de mercado, la reputación y la confianza del consumidor. Según el alcance, el phishing puede convertirse en un incidente de seguridad del que la empresa tendrá dificultades para recuperarse.

Ejemplos de ataque de phishing

A continuación se ilustra un intento común de estafa de phishing:

  • Un correo electrónico falsificado aparentemente de bbva.es se distribuye en masa a la mayor cantidad posible de clientes.
  • El correo electrónico afirma que el usuario es ganador de un premio en efectivo. Se dan instrucciones para ir a bbva.es/ganadores para reclamar el premio.

Varias cosas pueden ocurrir haciendo clic en el enlace. Por ejemplo:

  • El usuario es redirigido a bbva.24.org.es/wp-include/, una página falsa que aparece exactamente como la página real, donde se solicitan datos del cliente. El atacante, al monitorear la página, secuestra estos datos para acceder a la banca digital de la víctima.
  • El usuario es enviado a la página del premio para introducir los datos. Sin embargo, mientras se le redirige, se activa un script malicioso en segundo plano para secuestrar la cookie de sesión del usuario. Esto da como resultado un ataque de phishing XSS reflejado, que otorga al perpetrador acceso privilegiado a su banca.

Técnicas de phishing

Estafas de phishing por correo electrónico

El phishing por correo electrónico es un juego de números. Un atacante que envía miles de mensajes fraudulentos puede obtener información importante y sumas de dinero. Incluso si solo un pequeño porcentaje de los destinatarios caen en la estafa. Como se vio anteriormente, existen algunas técnicas que los atacantes utilizan para aumentar sus tasas de éxito.

Por un lado, harán todo lo posible para diseñar mensajes de phishing para imitar correos electrónicos reales de una organización falsificada. El uso de las mismas frases, tipos de letra, logotipos y firmas hace que los mensajes parezcan legítimos.

Además, los atacantes generalmente intentan empujar a los usuarios a la acción creando un sentido de urgencia. Por ejemplo, un correo electrónico podría amenazar con el vencimiento de la cuenta y colocar al destinatario en un temporizador. Aplicar tal presión hace que el usuario sea menos diligente y más propenso a cometer errores.

Por último, los enlaces dentro de los mensajes se parecen a sus contrapartes legítimas, pero generalmente tienen un nombre de dominio mal escrito o subdominios adicionales. Las similitudes entre las dos direcciones dan la impresión de un enlace seguro. Esto hace que el destinatario sea menos consciente de que se está produciendo un ataque de phishing.

Suplantación de identidad

Se dirige a una persona o empresa específica, a diferencia de los usuarios de aplicaciones aleatorias. Es una versión más profunda del phishing que requiere un conocimiento especial sobre una organización, incluida su estructura de poder.

Un ataque de phishing podría desarrollarse de la siguiente manera:

  • Un perpetrador investiga los nombres de los empleados dentro del departamento de marketing de una organización y obtiene acceso a las últimas facturas del proyecto.
  • Haciéndose pasar por el director de marketing, el atacante envía un correo electrónico a un gerente departamental de proyectos (PM) usando una línea de asunto que dice Factura actualizada para las campañas del tercer trimestre. El texto, el estilo y el logotipo incluido duplican la plantilla de correo electrónico estándar de la organización.
  • Un enlace en el correo electrónico redirige a un documento interno protegido por contraseña, que en realidad es una versión falsificada de una factura robada.
  • Se solicita al PM que inicie sesión para ver el documento. El atacante roba sus credenciales y obtiene acceso completo a áreas confidenciales dentro de la red de la organización.
  • Al proporcionar al atacante credenciales de inicio de sesión válidas, el phishing selectivo es un método eficaz para ejecutar la primera etapa de una APT.

Cómo prevenir el phishing

La protección contra un ataque de phishing requiere que tanto los usuarios como las empresas tomen medidas.

Para los usuarios, la vigilancia es clave. Un mensaje falsificado a menudo contiene errores sutiles que exponen su verdadera identidad. Estos pueden incluir errores ortográficos o cambios en los nombres de dominio, como se vio en el ejemplo de URL anterior. Los usuarios también deben detenerse y pensar por qué están recibiendo este correo electrónico.

Para las empresas, se pueden tomar una serie de pasos para mitigar un ataque de phishing y de phishing selectivo:

La autenticación de dos factores (2FA) es el método más efectivo para contrarrestar los ataques de phishing, ya que agrega una capa de verificación adicional al iniciar sesión en aplicaciones confidenciales. 2FA se basa en que los usuarios tengan dos cosas: algo que saben, una contraseña y un nombre de usuario, y algo que tienen, como sus teléfonos inteligentes. Incluso cuando los empleados están comprometidos, 2FA evita el uso de sus credenciales comprometidas, ya que estas por sí solas son insuficientes para ingresar.

Además de usar 2FA, las organizaciones deben aplicar políticas estrictas de administración de contraseñas. Por ejemplo, se debe exigir a los empleados que cambien con frecuencia sus contraseñas y que no se les permita reutilizar una contraseña para múltiples aplicaciones.

Las campañas educativas también pueden ayudar a disminuir la amenaza de ataques de phishing mediante la aplicación de prácticas seguras, como no hacer clic en enlaces de correo electrónico externos.

Con información de Imperva

Autor

Deja un comentario