Introducción al phishing

La palabra 'Phish' es una analogía para un pescador arrojado a pescar como cebo para atraparlos. El phishing es un ejemplo de una técnica de ingeniería social que se utiliza para engañar a los usuarios. Es un delito cibernético en el que se puede contactar a los objetivos a través de correos electrónicos, mensajes de texto, llamadas para hacer que el objetivo confíe en que proviene de una fuente legítima y que se puede recopilar información y datos confidenciales del objetivo. Los datos así recopilados pueden incluir detalles bancarios, información de la cuenta, etc.

El phishing es uno de los ciberataques más antiguos que comenzó en la década de 1990. Esto se inició en los usuarios de AOL en la década de 1990 para engañarlos y proporcionarles las credenciales de inicio de sesión. Aún así, este es uno de los principales ataques en los últimos tiempos y se ha vuelto muy sofisticado.

Hay varias formas de lidiar con el phishing, como la conciencia del usuario, la legislación, la capacitación del usuario, las medidas técnicas en la ciberseguridad adecuada.

Tipos de phishing

Los tipos de ataques de phishing se pueden clasificar en las siguientes categorías:

1. Spear Phishing:

Esta es la suplantación de identidad (phishing) a la que se dirige un individuo o una empresa. A diferencia del phishing masivo, para aumentar la tasa de éxito, los atacantes de phishing a menudo atacan a individuos o empresas y usan su información personal. En este ataque, los atacantes envían mensajes específicos a un individuo en lugar de uno genérico. Los atacantes agregan tantos detalles personales como sea posible para engañar a los objetivos que proviene de una fuente altamente legítima.

¿Cómo trabajan?

La suplantación de identidad ocurre al escanear los perfiladores individuales a través de los sitios de redes sociales. Desde un perfil, podrán obtener su identificación de correo electrónico, género, lista de amigos, ubicaciones, etc. Con esta información, el atacante podrá actuar con el objetivo como amigo o alguna entidad familiar y enviarlos convincentes todavía publicaciones o mensajes fraudulentos. Muchas veces, sucede que el individuo envió un enlace a algunos sitios web falsos donde parece ser un sitio web real, pero se utiliza para tomar nombres de usuario, contraseñas, etc. tipo de información confidencial. Una vez que los atacantes han reunido toda la información necesaria, pueden acceder a la información bancaria, engañar a los atacantes para descargar algún malware, etc.

Ser cauteloso

  • Hay que tener en cuenta qué datos confidenciales están siendo visibles en los sitios sociales y en línea.
  • Las contraseñas se pueden crear de manera inteligente. De modo que es muy difícil adivinar.
  • El software tiene que ser actualizado con frecuencia.
  • Debe tener cuidado al hacer clic en los enlaces de los correos electrónicos. Incluso un poco de sospecha, trate de evitar hacer clic en los enlaces.

2. Phishing de clones:

El phishing de clonación es un tipo de phishing en el que un correo electrónico de una fuente legítima se clona por completo para el contenido y se le agrega contenido malicioso. El atacante puede engañar al usuario de que es un correo electrónico actualizado más o menos y hace el trabajo de phishing. Gane el correo electrónico, podrían enviarse enlaces maliciosos y el usuario objetivo podría ser chantajeado, extorsionado o expuesto.

3. Phishing de ballenas:

El phishing de ballenas puede considerarse como un tipo de phishing de lanza, ya que los objetivos son individuales pero no a granel. El phishing de ballenas es un tipo de phishing donde los empleados de alto perfil solo son atacados. Esto se dirige a la información altamente sensible de una empresa. Los objetivos en este ataque generalmente son personas de nivel CFO / CEO que tienen información muy importante y sensible sobre la empresa. El término caza de ballenas ha venido dependiendo del tamaño del ataque (tamaño de la ballena / tamaño grande). Debido a la naturaleza muy alta de los objetivos, es muy difícil detener este tipo de ataques, ya que los atacantes son muy cautelosos sobre la captura y, por lo tanto, existe una alta probabilidad de que el ataque sea exitoso. Los ataques de caza de ballenas están muy personalizados y han incorporado el correo, los nombres y otra información diversa del atacante que pueden obtener a través de diversas fuentes.

Los atacantes están listos para pasar una gran cantidad de tiempo, ya que la información les brinda retornos muy altos que los normales. Los ataques de caza de ballenas ocurrieron recientemente en 2016, donde se engañó a los CEO para que entregaran datos relacionados con el impuesto sobre la renta a terceros no autorizados.

Formas de realizar phishing

Aquí hay diferentes métodos y formas de realizar phishing que se explican a continuación:

Phishing engañoso

Esta es la técnica más común en la que los atacantes se hacen pasar por una compañía confiable y pueden intentar robar algunos datos confidenciales como nombres de usuario, etc. También pueden enviar algunos enlaces en el correo electrónico que los redirige a sitios web falsos para recopilar datos como credenciales de inicio de sesión.

Falsificación de sitios web

En este ataque, los atacantes usan comandos de JavaScript para alterar la dirección de la URL a la que conducen. Esto puede suceder al hacer que la URL web falsificada se abra en lugar de una URL legítima.

Evasión de filtro

Los phishers han comenzado a usar imágenes en lugar de texto, por lo que es difícil para los filtros antiphishing detectarlas. Sin embargo, algunos filtros anti-phishing tienen la capacidad de detectar textos / guiones ocultos incrustados en las imágenes con OCR.

Phishing de voz

A veces, el phishing no necesita suceder en línea. Pueden ocurrir haciendo llamadas a los usuarios como si fueran de bancos y convenciéndolos para que proporcionen PIN, nombres de usuario y otros datos confidenciales a través de los cuales se pueden realizar ataques a la seguridad financiera como robar dinero, hacer compras, etc.

SMS Phishing

Se puede enviar un enlace fraudulento de phishing a través de SMS en lugar de correos electrónicos. Este enlace actúa exactamente de la misma manera que los enlaces de spam a través de correos electrónicos. Dado que las personas usan teléfonos móviles para casi todo, esto se ha vuelto bastante popular ahora. Los mensajes podrían engañar a los usuarios con mensajes atractivos o pegadizos como “Has ganado 50lakh en un sorteo. Para reclamar, haga clic en … "

InSession Phishing

Aquí es donde el phishing depende de que la sesión del navegador pueda detectar la presencia de otra sesión. La suplantación de identidad puede ocurrir aquí abriendo una ventana emergente que engaña al usuario como si la sesión de destino la estuviera abriendo.

¿Cómo identificarlo?

  • No se puede confiar en el nombre para mostrar.
  • Verifique correctamente la dirección de correo electrónico del remitente. A veces, la dirección del sitio web que figura en el correo electrónico o la dirección de correo electrónico del remitente puede ser sospechosa, lo que podría detectarse mediante un examen detallado.
  • A veces, el texto del cuerpo del correo electrónico puede estar mal escrito mostrando que el correo electrónico no es de una fuente legítima.
  • Además, el correo electrónico podría contener archivos adjuntos sospechosos que podrían contener malware o virus que se instalen al abrirlo.
  • Debe abstenerse de confiar si el correo electrónico le pregunta sobre algún tipo de información personal que parezca sospechosa
  • Los correos electrónicos 'urgentes' podrían ser una amenaza. Tenga cuidado cuando un correo electrónico llega con un sentido de urgencia. Por lo general, este es un truco para que los usuarios no piensen más y tomen medidas de inmediato, como proporcionar información personal y hacer que descarguen malware, etc.
  • Verifica la firma. Las fuentes legítimas serían muy transparentes y proporcionarían información de contacto completa, número de teléfono de soporte, etc. Por lo tanto, verifique si la firma es válida y tiene alguna información confiable que ayude a comprender si el correo electrónico es genuino.
  • Utilice los navegadores adecuados que tengan algún anti-phishing habilitado dentro de los navegadores. Chrome, Firefox, IE, Safari, etc. tienen anti-phishing habilitado dentro de ellos.

Anti Phishing

1. Existen algunos sitios web en Internet que ayudan a las personas a mostrar el mensaje exacto que se distribuye en Internet para suplantación de identidad. Este tipo de sitios web ayudan a difundir la conciencia.

2. Muchas organizaciones comenzaron a implementar métodos en los que los empleados están capacitados para implementar técnicas adecuadas legalmente dentro de la organización para estar a salvo de ataques de phishing. Las organizaciones también realizan campañas de phishing para difundir y hacer que los empleados comprendan la importancia de la seguridad contra el phishing. Además, las organizaciones intentan adoptar un patrón / firma en los correos electrónicos oficiales para que el empleado sepa si el correo electrónico es realmente oficial o no. Sin embargo, también depende de que la persona preste atención a ese tipo de detalles minuciosos en los correos electrónicos.

3. Los usuarios pueden ser entrenados para reconocer los intentos de phishing y contrarrestarlos con algunas técnicas adecuadas.

4. Los navegadores como IE, Chrome, Firefox mantienen una lista de sitios web fraudulentos que son populares para realizar ataques de phishing. Esto informa al usuario incluso antes de abrir el sitio web para que esté seguro. Sin embargo, esto solo puede evitar el 50% del problema ya que los atacantes después de saber que su sitio web está bloqueado obviamente preferirían otra forma probablemente cambiando el dominio, etc.

5. Algunos sitios web bancarios han adoptado algunas formas inteligentes de detectar el phishing, como solicitar a los usuarios que ingresen la contraseña solo cuando cierta acción es confiable. Por ej. el sitio web muestra un conjunto de imágenes de qué usuario seleccionaría una y que se muestra. Solo entonces, se le solicita al usuario que ingrese una contraseña y esto sugiere que la página web que está viendo es confiable.

6. Los filtros de spam están disponibles en casi todos los buzones que filtran los correos electrónicos de la bandeja de entrada.

7. Actualmente, hay más formas de autorizar a un usuario, como proporcionar un método de verificación en dos pasos, como una OTP, a un número de teléfono móvil.

8. Con OAuth, donde puede utilizar la autenticación de google / facebook / twitter, el inicio de sesión fraudulento se ha vuelto menos posible ya que estas grandes compañías se hacen cargo por completo de la seguridad de inicio de sesión completa.

9. La prueba de penetración es una técnica que autoriza un ataque simulado en el sistema informático para verificar el nivel de seguridad del sistema. Esto se utiliza básicamente para la evaluación de riesgos, donde la evaluación evalúa qué tan bueno puede estar el sistema lejos de los ataques de seguridad y qué tan vulnerable es el sistema para tales ataques. En esto, el sistema de destino se revisa por completo y obtiene los datos. Luego, la prueba se realiza al tener el objetivo de un ataque a datos particulares y luego probar qué tan bueno es el sistema para encontrarlos. La prueba de lápiz es un componente de una auditoría de seguridad completa.

Las fases de la prueba de la pluma incluyen

1. Reconocimiento: esta es la fase donde se recopila la información requerida.

2. Escaneo: use herramientas para ampliar el conocimiento del atacante sobre el sistema.

3. Obteniendo acceso: Aquí, el atacante puede usar la carga útil para atacar el sistema usando datos de 1 y 2 etapas.

4. Mantenimiento del acceso: ser persistente en el ataque al sistema y verificar cualquier vulnerabilidad.

5. Cubriendo pistas: Sea anónimo de lo que se realiza.

Estas son las etapas de las pruebas de penetración y esta es la estándar recomendada para los ataques cibernéticos.

La prueba de la pluma puede ser de dos tipos:

  • Pruebas externas: cuando las pruebas se realizan en datos digitales que son externos, como el sitio web de la empresa, los servidores de correo, los servidores de dominio, etc.
  • Pruebas internas: es aquella en la que se realizan pruebas en cada sistema en los datos que están detrás de los firewalls de la compañía.

Ataques de phishing denunciados

Incluso cuando las computadoras se están volviendo inteligentes y todas las nuevas técnicas para combatir el phishing, los atacantes de phishing se están volviendo aún más inteligentes y presentan los últimos ataques.

1. Las personas a menudo se asustan cuando reciben un correo diciendo que su cuenta se está desactivando. Los atacantes utilizan esta psicología de la mente humana y atacan a través de correos electrónicos pidiéndoles que hagan clic en un enlace de inmediato. Como el correo electrónico viene con una nota de emergencia, las personas pueden quedar atrapadas fácilmente sin siquiera comprobar la realidad.

2. Algunos correos electrónicos como de los nigerianos vienen con muy mala gramática y con un contexto que tiene algo como solicitar una cantidad como donación, pagar una gran tarifa de hospital, etc. Estos correos electrónicos son solo otra forma de obtener simpatía de los usuarios y atraerlos. su dinero. Se informó que estos correos electrónicos, en la mayor medida posible, provienen de fuera del país y principalmente de estafadores nigerianos.

3. Los atacantes conocen otro truco de que los humanos tienen conciencia de culpa y lo usan para asustarlos. Los correos electrónicos vendrían con contexto diciendo que usted está sujeto a una violación y por lo cual debe tomar medidas inmediatas, como pagar una cantidad dentro de los 3 días, de lo contrario, podría estar sujeto a la cárcel o estar obligado a pagar una gran cantidad de dinero.

4. Los correos electrónicos también vienen con un contexto como "Atención … Tome medidas de inmediato. Llámenos al 1800 … números para recibir el soporte de inmediato, etc. Tan pronto como llame al número (los estafadores pueden comprar fácilmente el número), un técnico acudirá a la asistencia y le pedirá que proporcione acceso remoto a su sistema . Tan pronto como usted proporcione, accederían al sistema e instalarían algún software malicioso o accederían a sus datos, etc.

Se recomienda encarecidamente que las personas conozcan todo este tipo de ataques de phishing y realicen las mejores prácticas para estar seguros en este mundo digital.

Artículos recomendados

Esta ha sido una guía de ¿Qué es el phishing? Aquí discutimos la fase, los tipos y las formas de realizar phishing. También puede consultar nuestros otros artículos sugeridos para obtener más información:

  1. Diferencia entre phishing y pharming
  2. ¿Qué es un algoritmo codicioso?
  3. Preguntas de la entrevista de pruebas de penetración
  4. ¿Qué es la seguridad de red?

Categoría:

Desarrollo de software