El phishing puede entenderse como una táctica de ingeniería social que consiste en engañar a un usuario haciéndole creer que está ingresando a un sitio seguro que ya conoce, para llevarle a otra dirección con la misma apariencia, con el afán de que el usuario entregue sus credenciales y exponga su información a los perpetradores.
Aparentemente se originó en los 90s cuando un grupo de hackers “warez Community” robaban datos de cuentas de AOL haciéndose pasar como empleados de la compañía. Así consiguieron “los correos electrónicos como ‘anzuelos’ para atrapar sus ‘peces’ del ‘mar’ de usuarios de Internet”.
Las víctimas terminan, tras ser engañados, revelando información confidencial sobre sí mismas, otra persona o alguna entidad a la que tienen acceso. Dicha información puede incluir contraseñas, información de cuentas bancarias, números de tarjetas de crédito y otros.
Lee sobre: Qué es la ciberseguridad.
Este tipo de ataque busca persuadir al usuario a seguir rutas a web fraudulentas, abrir archivos adjuntos o responder a mensajes. Todo esto en general para extraer información sensible.
Es una de las amenazas cibernéticas más efectivas, que presenta riesgos para el gobierno, la industria y todo tipo de usuarios. Millones de violaciones de datos han resultado de la acción del phishing y cada año se pierden miles de millones de dólares.
La situación actual con el coronavirus nos ha llevado a trabajar desde casa y seguramente muchas empresas se quedarán como remote first. (Por qué el trabajo remoto híbrido flexible es la peor opción, y qué hacer). Esta nueva realidad nos hace más propensos a caer en campañas de phishing y estafadores, pues estando en casa es más complejo hacer una llamada (a un compañero de la oficina, al banco u otro según el caso) para verificar que la información que hemos recibido es real. Sobre todo cuando los atacantes van más allá de los correos electrónicos, ya que también están haciendo un uso considerable de las redes sociales.
Más allá de la extracción de información, también se puede instalar malware (como ransomware) a través de estos ataques. El atacante puede solicitar transferencias de dinero o iniciar transacciones financieras no autorizadas. También puede dar lugar a una colaboración involuntaria por parte del destinatario para cometer una estafa dentro de una empresa (quizás el medio de entrada más simple).
El phishing puede ser bastante económico. Las estafas suelen durar unos días. Su infraestructura está libre de costos “impuestos por muchos sistemas de confianza de comercio electrónico”. Las personas malintencionadas pueden adquirir fácilmente los kits de phishing necesarios en sitios clandestinos en la Dark Web. Decenas de miles de esos kits desarrollados mezclando HTML y PHP están disponibles en la actualidad, y viven aproximadamente 36 horas antes de ser detectados y eliminados.
Además, los phishers pueden ser difíciles de detectar, ya que logran ocultar la ubicación de sus servidores. También han comenzado a crear redes de atacantes, cada uno haciendo parte del ataque. A veces, incluso uno de ellos simplemente crea las herramientas y termina reclutando phishers sin experiencia para recopilar toda la información, ser etiquetado como culpable y no obtener beneficios. De esa forma, el phisher real podría pasar desapercibido.
El atacante recopila información (en perfiles de redes sociales y blogs, por ejemplo) y la utiliza sobre una víctima potencial en particular. Si bien puede ser un usuario, también puede ser un grupo de empleados de determinadas áreas de una organización.
Si el engaño viene en una llamada telefónica se le conoce como Voice phishing o vishing, como la del blog Llamada falsa de tu banco ¿Habrías caído en esta estafa telefónica?
Otra forma de phishing es trabajar con información generalizada. En este caso, la red de ataque es mucho más amplia, esperando que entre tantos, al menos algunos destinatarios caigan en la trampa.
En este caso, se apunta a individuos ricos y poderosos. A veces, al contrario de atacarlos directamente, su identidad y autoridad se utiliza para extraer información financiera o fondos de la organización a la que pertenecen. Alternativamente, el uso de las identidades de otras personas también puede involucrar a las de personas de confianza, como miembros de la familia, colegas o amigos.
Los mensajes de los phishers pueden tener una fuerza narrativa significativa y conectarse con el lector a través de la sorpresa. Cuando el mensaje es muy largo, el receptor puede terminar prestando más atención a las características del diseño. A veces, los phishers utilizan imágenes de un hipervínculo legítimo para dirigirnos a un sitio corrupto diferente. Otras veces utilizan ventanas de navegador fraudulentas junto a las legítimas o por encima de ellas.
Muchas veces entramos a links que nos parecen reales solo porque tienen el nombre de la empresa en la URL (ej, www.security-paypal-center.com) o pueden ser engañados por typos o sustituciones de caracteres como piatzi.com o platz1.com en lugar del original platzi.com
Que es el indicador de seguridad en los navegadores web, este candado indica que el sitio web en el que estamos fue entregado de forma segura por SSL (Secure Sockets Layer). Protocolo criptográfico “utilizado para proporcionar autenticación y comunicaciones seguras a través de Internet”.
Los sitios oficiales tienen gráficos nítidos, la ortografía y la gramática serán precisas y toda la experiencia se sentirá pulida. Si estás en un sitio web de phishing, a pesar de la similitud de la marca, toda la experiencia se sentirá por debajo del estándar y puede indicar que te has desviado hacia un sitio falso.
Todos los dominios deberán registrar su dirección web, por lo que vale la pena realizar una búsqueda de WHOIS para ver quién es el propietario del sitio web. Este es un servicio gratuito y te permitirá verificar quién es el propietario del sitio web, cuando se creó y proporcionará los datos de contacto del propietario del sitio.
Ten en cuenta:
Y la más importante de todas es activar tu sentido común, el dinero fácil nunca es bueno y tú no eres tan suertudo para ser el visitante número 1.000.0000. Adicional una organización nunca te va a pedir que bajes archivos adjuntos en un mail o que verifiques tus credenciales a través de un link en tu correo.
Si quieres aprender más sobre este tipo de ataques recuerda que dentro de la Escuela de Ciberseguridad tenemos un curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting.
🦊 Si utilizan Firefox como navegador, les recomiendo leer este articulo para protegerse del Phishing y Malware.
https://support.mozilla.org/kb/como-protegerse-del-phishing-y-del-malware-con-esta-herramienta-firefox
Muy buen post.
Aporto con un testeo adicional.
A veces los links suelen estar camuflados. O sea, quizá digan https://platzi.com pero realmente el link es otro.
<a href="https://www.sitiofalso.com">htttps://platzi.com</a>Como verificarlo? Fácil.
Colocas el mouse por encima del enlace, y SIN DARLE CLICK, verificas el enlace que te aparecerá abajo a la izquierda si estas en un navegador, o al lado del puntero del mouse si estas en un correo electrónico
Mouse over que te salva
Me gustaría rescatar del articulo que el sentido común es lo más importante para nosotros como usuarios y desarrollares de tecnología.
.
Recuerdo que una vez le recomendé a una amiga que no instará un antivirus en su computador, le dije que era innecesario, que era mucho mejor que se cuidara de lo que descaraba y donde se metía y ella me dijo: Si Miguel, para ti como te dedicas a esto de la computación es fácil decirlo.
.
Y si, tenía razón. Aunque no tengamos un doctorado en computación, la practica, la experiencia de nuestro día a día navegando en internet o incluso de la vez que tuvimos que mandar a restaurar nuestro computador porque nos cayo un troyano y un gusano cuando teníamos 13 años, jejeje. Todo eso nos da mucha lógica a priori de cómo sobrellevar y actuar en caso de que tengamos un ataque.
.
Reitero, para la mayoría que somos estudiantes de Platzi y/o desarrolladores, lo mejor siempre será el sentido común.
Total sentido comun el mejor super poder
Concuerdo con tus palabras , para lo que estamos en el sector de tecnología, tenemos un +plus, estamos a ala defensiva ante este tipo de ataques, pero conozco a muchos profesionales que están bien desentendidos de estos temas y son victimas fáciles…
Hablando de esto, por ahí me encontré una tal página de “platzi2”
xdxd
Tal vez a lo que somos más vulnerables en esos casos es cuando se comunican con nosotros para decirnos que un ser querido está en riesgo (o se hacen pasar por tu familiar) y que necesitan información de nosotros o que nos reunamos en algún lugar. Mucho cuidado con eso.
Excelente post, esta información debería ser del saber común.
Si Said estoy de acuerdo
Este es el blog que todos deberíamos leer. 💚
Para la vida y para las tias
Si tienes duda de alguna URL puedes analizarla con VirusTotal, Es una herramienta muy buena!!! no solo es para URLs, si no también para archivos, IPs, Dominios, etc.
Hola
Agregaría en la actualidad este tipo de mensajes van a llegar por diferentes medios digitales como el correo electrónico, un enlace de una web, un SMS de texto, por DM en Instagram, Telegram, WhatsApp etc. Cualquier canal digital de comunicación es un vector para este tipo de ataques, y esto elevada su complejidad para poder detectarlos a simple vista.
Saludos.
Esta muy bueno el post
Muy buen artículo, les recomiendo que hagan este test https://phishingquiz.withgoogle.com/ para ver realmente que tan vulnerables son, y presten la misma atención en su vida diaria que con ese quiz, es importante estar alerta.
También se lo pueden pasar a sus familiares o amigos.
Que buena información
Interesante análisis del phishing, una amenaza persistente. Su evolución desde los 90s destaca su sofisticación actual, aprovechando la coyuntura del trabajo remoto. Importante recordatorio sobre prácticas de seguridad y reconocimiento de señales para protegerse.
Pishing como dice es ingeniería social donde básicamente imitan la apariencia de la página donde usualmente ingresas tus credenciales de usuario. Una de las formas de prevenir es desconfiar de sitios no seguros, (sin https),y ubicar la url del sitio si esta mal escrita o tiene faltas de ortografía o si es de otro país, etc, ejemplo :facebok com o facebok ru qué no sea la página original o donde te pidan ingreses tus datos de redes sociales etc o te prometan cosas como dinero o recargas gratis. Si bien muchos sitios de adivina el futuro,como te verás en 4 años etc tienen tus datos desconfía de esos sitios solo porque los demás lo hagan y entren sus datos tu también?. No des click en enlaces de correos o whatsapp qué no son dr confianza, si ves algo raro en el link o mensaje no lo abras, no escanees códigos qr, etc