Atrás han quedado los días en que los correos electrónicos de suplantación de identidad (phishing) eran mensajes cargados de errores tipográficos que exigían que hiciera clic en un enlace e ingresara los detalles de su tarjeta de crédito en algún sitio web. Los ataques de phishing de hoy en día son avanzados, sofisticados y muy creíbles, lo que tal vez explica por qué el 22 por ciento de los empleados hizo clic en un correo electrónico de phishing en 2018, según cifras de Verizon.

¿Cómo son los ataques de phishing cada vez más sofisticados? Bueno, en lugar de lanzar una amplia red con la esperanza de enganchar a un par de peces, los ciberdelincuentes se están volviendo cada vez más selectivos con sus ataques. Al centrar sus esfuerzos en un solo objetivo de alto valor, los delincuentes cibernéticos pueden crear ataques personalizados que se adaptan cuidadosamente a la persona, maximizando así sus posibilidades de aterrizar de una manera inmejorable.

Sigue leyendo para obtener más información sobre los diferentes tipos de ataques de phishing y cómo puedes protegerte como propietario de una pequeña empresa.

Cómo funciona el Phishing

Phishing es el término general para un tipo de ataque de ingeniería social en el que los atacantes pretenden ser una entidad legítima para extraer información sensible de un objetivo. Al igual que un pescador que lanza una red enorme en el mar con la esperanza de atrapar algo, la mayoría de los ataques de phishing tienen un alcance de ataque increíblemente amplio y, a menudo, se distribuirán a miles o millones de personas.

En este sentido, un ataque de phishing es en gran medida un juego de números. Un atacante entiende que hay pocas posibilidades de que un objetivo se tome el anzuelo, pero como el alcance del ataque es tan grande, es muy probable que al menos algunas personas respondan. Los ataques de suplantación de identidad (phishing) generalmente se envían por correo electrónico, pero también pueden enviarse a través de redes sociales, llamadas telefónicas y SMS.

Ejemplos de ataques de Phishing

1. Estafa de soporte técnico

La estafa de soporte técnico es quizás el ejemplo más clásico de un ataque de phishing. Por lo general, implica un mensaje de correo electrónico o una ventana emergente del navegador que le advierte de algún problema con su computadora (por ejemplo, una infección de malware, una violación de datos en un servicio en línea popular o un reclamo de que ha utilizado su sistema para actividades ilegales) y un enlace a un sitio web donde Usted puede resolver el problema. El sitio web puede parecer real, pero cuando ingresa su información personal, envía sus datos directamente a las manos de los delincuentes. Hasta el 6 por ciento de los consumidores perdieron dinero en una estafa de soporte técnico en 2018, según Global Tech Support Scam Research de Microsoft.

2. Facturas falsas

Los ataques de phishing con facturas falsas han existido durante años y, lamentablemente, probablemente no se irán pronto. En este tipo de ataque, los delincuentes normalmente se hacen pasar por una empresa de tecnología muy conocida y envían facturas falsas que muestran que recientemente les ha comprado algo. El correo electrónico incluye un enlace a un sitio web donde puede disputar los cargos o detener la facturación automática. Al ingresar sus datos en el sitio web, se envía su información a los delincuentes, quienes pueden utilizar los datos para cometer fraude o robo de identidad.

3. Mensajes de Facebook

Las redes sociales son un poderoso vector de ataque para el phishing porque el ataque generalmente se realiza a través de la cuenta de alguien que conoces y en quien confías, lo que lo hace más convincente y aumenta las posibilidades de que hagas clic en un enlace dudoso. El contenido del mensaje puede variar, pero a menudo afirma que ha ganado algo, que ha sido etiquetado en una foto con mucho valor o que tiene una nueva oportunidad de trabajo. Al hacer clic en el enlace que lo acompaña lo llevará a un sitio web fraudulento que podría robar su información personal o instalar malware en su computadora.

¿Qué es Spear Phishing?

Spear phishing es mucho más selectivo y sofisticado que los ataques regulares de phishing. Por lo general, el phishing está dirigido a miembros de una organización específica para obtener acceso a información crítica, como datos financieros, credenciales del personal, propiedad intelectual e información de identificación personal de los clientes. Estos tipos de ataques suelen ser mucho más lucrativos que un ataque de phishing normal, por lo que los delincuentes pueden pasar mucho tiempo investigando su objetivo y planificando el ataque. En muchos casos, el phishing de la lanza es realizado por atacantes patrocinados por el gobierno en lugar de cibercriminales al azar que buscan hacer dinero rápido.

¿Qué es un ataque de Caza de Ballenas?

Un ataque de caza de ballenas es un tipo de phishing que se enfoca en un objetivo de alto rango dentro de una organización en lugar de empleados de nivel inferior. Muchos ataques a la caza de ballenas apuntan a los CEOs, CFOs y otros ejecutivos que tienen un alto nivel de acceso a información confidencial de la compañía. Algunos ataques de caza de ballenas implican hacerse pasar por miembros de la suite C y aprovechar su autoridad para convencer a los empleados de otros departamentos para que divulguen información confidencial.

Los ataques de caza de ballenas son tan sofisticados como personalizados. Los correos electrónicos y los sitios web utilizados en este tipo de ataques están diseñados profesionalmente, redactados de manera impecable y, para todos los efectos, son completamente legítimos. Para aumentar aún más la ilusión, los atacantes podrían usar direcciones de correo electrónico falsificadas y logotipos e información de contacto de compañías reales o agencias gubernamentales.

Para personalizar el ataque, los delincuentes también harán todo lo posible para recopilar tanta información sobre el objetivo como sea posible, a menudo obteniendo datos de LinkedIn, Facebook y Twitter. Esto les permite referirse al nombre del objetivo, el título del trabajo y otra información personal, lo que hace que el ataque parezca aún más auténtico.

Ejemplos de ataques de caza de ballenas.

1. Seagate libera copias de los formularios de impuestos W-2 de 10,000 empleados

En 2016, el departamento de recursos humanos del gigante de la tecnología de almacenamiento de datos Seagate recibió un correo electrónico que aparentemente fue del CEO de la compañía, Stephen Luczo. El correo electrónico solicitó copias de los formularios de impuestos W-2 2015 de los empleados y otra información de identificación personal, incluidos nombres, números de seguro social, ingresos y direcciones de domicilio. HR cumplió la solicitud, lo que resultó en que los datos personales de casi 10,000 empleados actuales y pasados ​​fueran enviados directamente a los ciberdelincuentes.

2. Snapchat entrega información sobre la nómina.

Snapchat no es ajeno a los ataques cibernéticos, pero en 2016 la plataforma de redes sociales se encontró de nuevo en el centro de una violación de datos cuando un empleado fue engañado para que liberara información de nómina sobre algunos de sus empleados. En el ataque, un miembro del equipo de nómina recibió un correo electrónico de alguien que afirmaba ser el CEO de Snapchat, Evan Spiegel, quien solicitó información sobre la nómina de los empleados. Los datos se entregaron debidamente al atacante y la información se filtró poco después.

3. El CEO de FACC pierde empleo luego de que la compañía transfiere $ 56 millones a estafadores

FACC es una empresa de fabricación de aviones austriacos cuyos clientes incluyen a Boeing y Airbus. En 2016, se supo que la compañía había sido víctima de un exitoso ataque a la caza de ballenas, lo que llevó a que el departamento de finanzas transfiriera $ 56 millones a los estafadores. Si bien los detalles completos del ataque nunca se dieron a conocer públicamente, el CEO de FACC, Walter Stephan, fue despedido porque "violó gravemente sus obligaciones", y el CFO de la compañía también perdió su trabajo poco después del ataque.

Phishing, Spear Phishing y Caza de Ballenas: ¿Cuál es la diferencia?

Los ataques de phishing, phishing y caza de ballenas comparten muchas similitudes: principalmente, los tres implican el uso de la suplantación para obtener información o dinero de un objetivo. Sin embargo, también tienen algunas diferencias sutiles a tener en cuenta.

Un ataque de phishing típico tiene un enfoque de "cantidad sobre calidad" para el fraude. Los ataques son a menudo simples, relativamente fáciles de identificar y distribuidos a miles o millones de personas.

Spear phishing es más selectivo. Estos ataques se dirigen a una organización o empleado específico para obtener datos confidenciales. Los activos utilizados en el phishing son más sofisticados y pueden ser difíciles de detectar. Si bien los ataques de phishing con lanzas tardan más tiempo en planearse y ejecutarse, la recompensa puede ser mucho más lucrativa que los ataques de phishing a gran escala.

La caza de ballenas es un tipo de phishing de lanza. Se dirige a objetivos de alto rango y alto valor en una organización específica que tiene un alto nivel de autoridad y acceso a datos críticos de la empresa. Los ataques de caza de ballenas pueden tardar semanas o meses en prepararse, y como resultado, los correos electrónicos utilizados en los ataques pueden ser muy convincentes.

Cómo pueden defenderse las PyMEs contra el phishing y los ataques de Caza de Ballenas

1. Educar al personal sobre ataques de phishing y caza de ballenas.

Los empleados de todos los niveles de su organización, especialmente la administración superior y el personal de recursos humanos y nóminas, deben recibir capacitación sobre cómo identificar los signos de un ataque de phishing o caza de ballenas. Esto podría incluir aprender a detectar nombres de remitentes falsos y direcciones de correo electrónico, desconfiar de los archivos adjuntos no solicitados, mantener el software actualizado y verificar dos veces las URL antes de hacer clic en los enlaces. Para obtener más información, asegúrese de consultar nuestra publicación anterior en el blog sobre cómo prevenir los ataques de phishing.

2. Alentar a los gerentes a considerar lo que comparten en las redes sociales

Como se mencionó anteriormente, los ciberdelincuentes rastrean regularmente las plataformas de redes sociales para encontrar información sobre sus objetivos que luego pueden usar para agregar una capa adicional de legitimidad a sus ataques de phishing y caza de ballenas. Los datos como el lugar de empleo, la dirección y la fecha de nacimiento pueden usarse para agregar peso a un ataque. Si bien es probable que no pueda (y no deba) prohibir a los empleados el uso de las redes sociales, aliente al personal (y en particular a los gerentes y ejecutivos) a evitar el intercambio excesivo en las redes sociales y modifique sus configuraciones de privacidad para mantener sus cuentas lo más privadas posible.

3. Instala una extensión anti-phishing para tu navegador

En estos días, todos los principales navegadores web vienen con una tecnología de protección contra phishing razonablemente efectiva incorporada, pero para mantener su negocio seguro, puede considerar instalar una extensión de navegador dedicada. Emsisoft Browser Security, por ejemplo, bloquea los ataques de phishing y le impide acceder a sitios web que se sabe que distribuyen malware, y lo hace de una manera que no compromete su privacidad.

4. Verificar solicitudes de dinero e información sensible.

Los ataques de phishing y caza de ballenas dependen del error humano. Reduzca el riesgo de un deslizamiento al desarrollar y aplicar procesos para verificar las solicitudes de datos financieros y confidenciales. Por ejemplo, podría hacer que sea obligatorio verificar las solicitudes a través de un canal de comunicaciones secundario antes de realizar la solicitud. Por lo tanto, si alguien en cuentas recibiera un correo electrónico del Oficial Principal de Finanzas para que transfiriera una gran suma de dinero a una cuenta desconocida, el empleado tendría que volver a verificar la solicitud comunicándose con el Oficial Principal de Finanzas a través de una llamada telefónica, chat o Persona, pero NO por correo electrónico.

5. Tener sistemas en el lugar en caso de que alguien se coma el cebo.

En el caso de que alguien caiga en un ataque de phishing, querrá asegurarse de que tiene sistemas implementados para limitar el daño. Invertir en un software antivirus confiable, como Emsisoft Anti-Malware, es fundamental para prevenir el malware que se puede producir en algunos ataques de phishing, mientras que una buena estrategia de copia de seguridad puede ayudar a restaurar la máquina a un estado seguro.

Mantener su Negocio a Salvo de Phishing

Los ataques de phishing y caza de ballenas siguen siendo una amenaza constante para las empresas de todos los tamaños. Si bien los ataques de phishing básicos generalmente se pueden detectar desde una milla de distancia, el phishing y la caza de ballenas son mucho más difíciles de identificar. La buena noticia es que hay muchas cosas que las empresas preocupadas por la seguridad pueden hacer para contener la amenaza. Al capacitar al personal sobre los peligros del phishing, establecer procesos de verificación y tener sistemas implementados para el peor de los casos, estará mejor preparado para proteger a su empresa contra todos los tipos de ataques de phishing.

#Phishing #SpearPhishing #WhalingAttacks #Pymes