Uno de los mayores peligros que actualmente afectan a la seguridad de la información: el Phishing
¿Qué es el Phishing? El Phishing o suplantación de identidad es un modelo de abuso informático, que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).
Por lo tanto, podríamos decir que el Phishing es la estrategia más utilizada para conseguir beneficios económicos de forma ilegal, siendo el principal daño el robo de identidad y datos confidenciales de los usuarios,conllevando pérdidas económicas para los usuarios o incluso impedirles el acceso a sus propias cuentas.
Es por ello que, a continuación, conoceremos las las 5 tipologías de phishing más habituales:
1. Phishing de redireccionamiento. Se podría decir que son aquellas que buscan engañar a la víctima para que esta inserte ciertos datos en un formulario controlado por el atacante.
Lo más habitual, es que la campaña se lance masivamente por email, haciéndose pasar por alguien conocido o alguna marca que goce con el respeto de la víctima, pidiéndole a esta que acceda lo antes posible para beneficiarse de una oferta, obtener información importante o para solucionar un problema muy grave.
La página a la que llegaríamos, sería o bien una página fail clonada, o bien una página legítima con alguna vulnerabilidad que ha permitido al atacante meterle un iframe, url o código externo controlado por este. El resultado es que, estos datos son recibidos por un servidor dominio del atacante. Por lo general, el ataque se hace de forma masiva, y por tanto, no enfocado a nuestra persona.
2. El timo a través de Phishing. Existen dos principales características que lo diferencian con el anterior:
No suelen ser tan masivos como el phishing de redireccionamiento
Su objetivo no es robarnos credenciales, sino realizar algún tipo de timo más tradicional: No existe una página web fraudulenta al final del ataque.
3. Spear phishing. Nos encontramos con un tipo de phishing dirigido a la consecución de un objetivo específico en una víctima concreta. Para ello, se realiza un estudio que permite conocer de antemano qué debilidades podría tener, para enfocar el ataque a que sea lo más creíble posible. Suele realizarse vía email, pero también cada vez másvía redes sociales, en especial las profesionales como LinkedIn.
4. Sms Phishing (smishing). El smishing no es más que un phishing vía SMS, que habitualmente tiene como cometido que envíes un mensaje a un número de tarificación especial, la suscripción a servicios premium o la multicanalidad con vista a una campaña de phishing avanzada.
5. Vishing o voice Phishing. El vishing es un tipo de Phishing vía centralita de telefónia (o VoIP). Como por ejemplo, una llamada haciéndose pasar por la operadora para confirmar su clave de router.
Por último, desde Panda security, nos ofrecen varias recomendaciones para evitar ser víctima de Phishing:
– Intentar identificar los correos electrónicos sospechosos de ser Phishing.
– Verificar la fuente de información de tus correos entrantes.
– Nunca entrar en la web de tu banco pinchando en links incluídos en correos electónicos.
– Reforzar la seguridad de tu ordenador.
– Sólo introducir los datos confidenciales en webs seguras y de confianza.
– Revisar periódicamente las distintas cuentas.
Otros artículos que pueden interesarle: Ransomware: ¿Han secuestrado tus datos? FACUA denuncia a Cajamar ante la AEPD