El supuesto correo electrónico del banco habitual llegó de manera inesperada, su diseño engañosamente real, el contenido insospechado a primera vista: “Encontramos un agujero de seguridad en nuestros sistemas. Por favor, inicie sesión en su cuenta inmediatamente para “verificar su identidad” – muchos destinatarios de un correo electrónico de este tipo no son capaces de ver el fraude detrás de él. Esto se debe a que no se trata de un agujero de seguridad o de un consejo bienintencionado del banco, sino de un correo electrónico de phishing muy clásico.

Pero ¿cómo funciona realmente el phishing y es un profano capaz de ver a través de la estafa? ¿Qué pasa después de que yo caiga en la estafa? ¿Por qué se llaman así los correos electrónicos de phishing y cómo puedo protegerme de esos ataques? Las preguntas sobre el phishing son como la arena en el mar. Esta entrada de blog pretende arrojar algo de luz sobre los abismos de la suplantación de identidad (phishing) y muestra no sólo cómo descrubrir los correos electrónicos de suplantación de identidad con unos pocos trucos sencillos, sino también cómo no dejarlos entrar en su buzón de correo en primer lugar.

El nombre lo dice todo

La palabra “phishing” se estableció en los Estados Unidos en los años 90 y tiene menos que ver con el mar abierto y sus habitantes, pero todavía se pueden establecer paralelismos con la palabra inglesa “fishing”. Porque en el phishing, los ciberdelincuentes literalmente “pescan” los datos personales de sus víctimas de forma fraudulenta.

La palabra “Phreaking” también jugó un papel en el nombre. Describe la ocultación de llamadas telefónicas gratuitas mediante la generación de un tono de 2.600 hertzios que engaña aciertos centros de conmutación de EE.UU., Francia o Japón, por ejemplo, cuando se reproduce en el auricular, para establecer llamadas telefónicas. Lo divertido de esto es que exactamente este sonido de 2600 hercios se puede producir con un tubo de juguete que una vez fue un acompañamiento de los cereales “Captain Crunsh”. Sin embargo, la moderna tecnología de conmutación ya no hace posible este método, aunque este método es el comienzo del conocido “hacking” de hoy en día. El término “phishing” es un neologismo de las dos palabras “fishing” y “phreaking”.

¿Cómo funciona el phishing?

Un ataque de phishing es un robo de identidad digital. Los hackers envían correos electrónicos fraudulentos, que por ejemplo imitan el diseño de proveedores de servicios de Internet conocidos como Amazon o PayPal, así como de bancos de renombre.

Los mensajes, algunos de los cuales parecen engañosamente reales, utilizan pérfidos pretextos para atraer a sus destinatarios a sitios web falsos para que revelen sus datos personales. Afirman, por ejemplo, que ha habido un ataque de hackers y que la cuenta supuestamente afectada ya no es segura. Sólo si se verifican sus datos en el sitio web, a los que se puede acceder por la izquierda, la seguridad de la cuenta queda garantizada de nuevo.

El enlace contenido en el correo electrónico es a menudo muy difícil de descubrir como un paquete engañoso. Esto se debe simplemente a que los ciberdelincuentes conceden gran importancia al hecho de que los enlaces utilizados sean lo más auténticos posible. Al comprar dominios, como “amazn.com”, que se parecen casi al original, el fraude puede mostrar tasas de éxito sorprendentemente altas. Según el Anti-Phishing Working Group (APWG), en marzo de 2018 había casi 114.000 sitios de phishing en línea.

Para que el fraude sea perfecto, esto naturalmente también se aplica a las direcciones de los remitentes de los correos electrónicos de phishing. La dirección real del remitente de Amazon noreply@amazon.com será cambiada a noreply@amzon.com.

También es posible con ciertos clientes de correo electrónico camuflar direcciones de remitentes absurdas, como hacker@doamin.com, que no tienen nada que ver con -en nuestro caso Amazon-. Visualmente, este fraude sólo se puede reconocer con una mirada muy cercana y la mayoría de las víctimas no lo notan en absoluto o al menos sólo cuando ya es demasiado tarde. Una vez que la persona objetivo ha introducido sus datos personales en el sitio web que no funciona correctamente, se transfieren directamente a las garras de los ciberdelincuentes.

El phishing y sus variaciones

Los correos electrónicos regulares de phishing, al igual que los correos electrónicos de spam, están destinados al correo masivo. Los ciberdelincuentes compran grandes cantidades de direcciones de correo electrónico para este fin o utilizan datos que han capturado por su cuenta. Los mensajes de fraude se envían millones de veces a diferentes personas. Aunque algunos correos electrónicos de phishing no prestan mucha atención a los detalles, a menudo pueden alcanzar tasas de éxito considerables, al menos cuando se consideran los números totales. La situación es completamente diferente con el llamado Spear-Phishing. El método se basa esencialmente en la estafa tradicional de phishing, pero se trata de una estafa por correo electrónico dirigida.

Esto se puede adaptar tanto a una empresa específica como a una persona individual. El objetivo es robar datos financieros sensibles o datos de acceso. Mediante el uso de la ingeniería social, los ciberdelincuentes descubren de antemano tanta información personal sobre su objetivo que pueden pretender ser una comunicación por correo electrónico de apariencia real y engañosa. En el mejor de los casos, la víctima no se da cuenta del fraude y es dirigida a un sitio web falso con un pretexto, donde revela sus datos.

¿Qué buscan los piratas digitales?

En la mayoría de los casos, la información “obtenida” por los ciberdelincuentes son datos de acceso a cuentas bancarias en línea u otros servicios bancarios basados en la web, pero la información sobre tarjetas de crédito en general también es un objetivo popular.

La motivación de los atacantes puede ser muy diferente y va desde el enriquecimiento financiero en forma de saqueo de cuentas o venta de datos hasta ataques de hackers a empresas que se llevan a cabo con la información de los datos capturados.

He sido víctima de un ataque de phishing, ¿qué debo hacer ahora?

A pesar de todas las medidas de seguridad, sucedió y ¿usted fue víctima de un ataque de phishing? A menudo uno se da cuenta de esto sólo si ya es demasiado tarde. Ahora es el momento de mantener la calma y reaccionar rápidamente! Lo mejor es informar inmediatamente al operador de la cuenta en cuestión sobre el ataque de phishing para que pueda iniciar las contramedidas adecuadas y hacer público el fraude. En algunos casos, también puede activarse cambiando los datos de acceso de la cuenta en cuestión o bloqueándola usted mismo si es posible.

¿Cómo puedo protegerme eficazmente del phishing?

La tasa de éxito de los correos electrónicos de phishing es alarmantemente alta. En 2017, Trojaner-Info.de incluso informó de un” href=”https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/phishing-kampagnen-mit-ausserordentlicher-erfolgsquote-aufgetaucht.html”> ataque de phishing extremadamente elaborado contra los viajeros frecuentes, que tuvo una tasa de éxito increíble del 90 por ciento. Por lo tanto, ser víctima de un ataque de phishing es más rápido de lo que se cree. Esto hace que sea aún más importante estar preparado de antemano para posibles ataques de phishing. Por lo tanto, hemos enumerado los consejos más importantes en los siguientes párrafos.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

1. sensibilización

En primer lugar, la sensibilización adecuada en la lucha contra los correos electrónicos de phishing es una buena base. Muchos usuarios no son suficientemente conscientes de los peligros que acechan en su bandeja de entrada de correo electrónico, como los ataques de phishing. Por lo tanto, es difícil para ellos detectar los correos electrónicos fraudulentos como tales. Sin embargo, el riesgo de una campaña de phishing puede reducirse con un poco de conocimiento previo.

Si se sospecha de phishing, se debe comprobar si la dirección del remitente coincide realmente con el dominio original o si hay añadidos o errores de ortografía. Si este es el caso, puede ser una primera indicación de un ataque de phishing. Otra referencia puede ser el saludo impersonal, como “Queridas damas y caballeros”. También hay que tener cuidado con los enlaces o botones colocados en los correos electrónicos, ya que como “usuario normal” es muy difícil comprobar si el supuesto objetivo del enlace es realmente correcto.

Si la dirección es similar al dominio original y parece poco sospechosa al principio, puede comprobar si coinciden ambas URL. Además, nunca debe divulgar información personal en ninguna comunicación por correo electrónico.

2. Protección activa

Más allá de la sensibilización, hay cosas que se pueden hacer para protegerse activamente contra los ataques de phishing. En el cliente de correo electrónico, por ejemplo, debería desactivarse la función “Ejecutar contenido activo”, ya que esto puede hacer que los contenidos nocivos se ejecuten de forma inadvertida y automática.

Si no desea que los correos electrónicos de phishing lleguen a su correo electrónico en primer lugar, no debería prescindir de un servicio de filtro de spam. El servicio de filtrado de spam gestionado de Hornetsecurity filtra de forma fiable el 99,9% de todas las amenazas transmitidas por el correo electrónico, incluidos los correos electrónicos de phishing.

Hornetsecurity Advanced Threat Protection es capaz de reconocer incluso las campañas de phishing más sofisticadas a través de todo un conjunto de mecanismos de seguridad como el análisis de intentos de fraude, el reconocimiento de falsificación de identidad o la detección de ataques dirigidos. De este modo, el riesgo para los empleados y las empresas puede reducirse drásticamente.

Ejemplo de un correo electrónico de phishing:

Phishing

Correo electrónico de phishing clásico en el que los ciberdelincuentes se disfrazan de entidades de crédito. Con el pretexto de que ha habido actividades de inicio de sesión inusuales en la cuenta, la persona objetivo se ve obligada a verificar los detalles de su cuenta. El diseño es indistinguible del diseño normal del banco. El correo electrónico no contiene ningún error ortográfico y el formato es correcto. Los anuncios en el correo electrónico con enlaces al sitio web real y el codificador de QR para la aplicación bancaria completan la imagen general. Al ser una entidad de crédito sudafricana, incluso el dominio emisor “abSaMail.co.za” es bastante creíble. Sólo el prefijo “xiphaMe” parece extraño e indica un fraude.

Ejemplo de un correo electrónico de spear phishing:

Spear Phishing

Ejemplo de un pérfido correo electrónico de phishing submarino*. Los estafadores utilizaron la ingeniería social para averiguar los nombres, las direcciones de correo electrónico y, muy probablemente, la relación entre dos empleados. Luego utilizaron la información capturada para recrear una comunicación por correo electrónico lo más auténtica posible. La confianza se construye a través de saludos personales y conocimiento interno del abogado de la compañía. La dirección de correo electrónico del supuesto remitente también se introduce en el campo de nombre. Esto es para sugerir que en realidad es la dirección correcta del remitente. La dirección real del remitente sólo sigue después de esto.

*El ejemplo mostrado es un correo electrónico real de Spearphishing. Por razones de protección de datos, se han cambiado todos los nombres y toda la información confidencial.

Más información: