Hacks de Internet: explicación de phishing y spearphishing

[ware_item id=33][/ware_item]

suplantación de identidad


El phishing, la pesca pronunciada, es una técnica de ingeniería social diseñada para robar contraseñas, detalles de tarjetas de crédito y otra información confidencial. El objetivo final es utilizar estas credenciales para obtener acceso a más información, como redes sociales y cuentas bancarias..

Un ataque de phishing puede llevarse a cabo por correo electrónico, teléfono o mensaje de texto y generalmente contiene un enlace a un sitio controlado por los atacantes que le solicitará que ingrese sus datos de inicio de sesión. El correo electrónico puede estar diseñado para parecerse a un correo electrónico normal de Dropbox o Facebook, por ejemplo, y enlazar a un sitio falso que se ve exactamente como Dropbox o Facebook. Puedes encontrar muchos ejemplos aquí.

Phishing de Facebook y otros ataques

Los correos electrónicos de phishing a menudo contienen contenido que suena inocente, como "alguien te mencionó en Facebook" o "Compartí un documento contigo en Dropbox". El atacante espera que hagas clic en estos enlaces sin verificar su autenticidad y luego ingreses tus credenciales. A menudo, el sitio web de phishing lo redirigirá nuevamente a la página de inicio de sesión del sitio real, donde se le pedirá que ingrese nuevamente sus credenciales, esta vez legítimamente. Como ahora ha iniciado sesión en el sitio web real, la esperanza es que toda sospecha desaparezca.

Mientras tanto, el atacante ha reunido y almacenado su nombre de usuario y contraseña y puede usarlos a voluntad. Si han obtenido acceso a su cuenta de correo electrónico, pueden restablecer la contraseña de cada cuenta vinculada a su dirección de correo electrónico y luego controlarlas también.

Peor aún, la información que se encuentra en su bandeja de entrada de correo electrónico podría permitirle a un atacante planificar el momento perfecto para seguir sus cuentas financieras, como durante una enfermedad o un vuelo largo.

Direcciones de suplantación de identidad y correos electrónicos de phishing

Los atacantes utilizan principalmente dos trucos tecnológicos para phishing exitosamente: falsificación de correos electrónicos o llamadas telefónicas; todo lo demás gira en torno al uso de buenos tiempos, lenguaje creíble y excelente diseño.

Las direcciones de correo electrónico y los números de teléfono son muy fáciles de falsificar, por lo que no puede confiar en que una dirección de correo electrónico que dice venir de [email protected] haya sido enviada por Facebook. Muchos servicios de correo electrónico buscarán firmas criptográficas que prueben que se envió un correo electrónico desde un dominio en particular, pero estas firmas aún no son estándar en la web, por lo que su ausencia no es prueba de un mensaje falso.

Del mismo modo, una llamada de un número conocido, por ejemplo de su banco, podría llegar a su teléfono. Pero no hay pruebas de que esta llamada realmente se origine en este número. En caso de duda sobre un número falso o una dirección de correo electrónico, escriba o vuelva a llamar y espere una respuesta.

URL falsas y sitios web de phishing

Además de falsificar direcciones de correo electrónico, los atacantes registrarán URL que imitan las de sitios legítimos. A menudo hacen esto reemplazando ligeramente el orden de las letras, como goolge.com. Otra táctica es registrar dominios de aspecto inocente y usar dominios que suenen legítimos como subdominios, como facebook.com.importantsecurityreview.co.

Como el atacante es realmente el propietario de estos subdominios, puede obtener un certificado de seguridad HTTPS, lo que hace que el sitio parezca legítimo.

phishing-ejemplosLos atacantes pescarán sus datos.

La diferencia entre phishing y spearphishing

Spearphishing es un ataque de phishing dirigido especialmente a usted, en lugar de propagarse como spam a cualquier dirección de correo electrónico que puedan encontrar. Estos ataques de phishing han demostrado ser particularmente fructíferos, ya que los correos electrónicos pueden ser dirigidos personalmente y adaptados a un contexto específico, o a menudo encajar en un ataque más grande y sofisticado..

Para usar la analogía de la pesca: en lugar de tirar el cebo al océano y esperar a que cualquier pez muerda, la pesca submarina sigue con precisión a un solo pez y lo ataca individualmente.

Por ejemplo, si es un profesional independiente, puede encontrar una solicitud de sus servicios en su bandeja de entrada. Es posible que luego le pida que cargue sus cartas de referencia en una carpeta de Dropbox y, en lugar de vincular directamente a esta carpeta, se lo dirigirá a un sitio de phishing. Después de escribir su contraseña en el sitio de phishing, es posible que sea redirigido a una carpeta real de Dropbox y nunca sospeche de ningún juego sucio..

Los ataques de spearphishing son muy comunes en grandes organizaciones, donde las empresas criminales, los competidores y los gobiernos pueden atacar a los empleados, a menudo encontrados en LinkedIn, para recopilar información sobre la organización y encontrar puntos débiles en la red..

Detectando un ataque y protección contra phishing

La autenticación de dos factores puede ofrecer protección contra algunos ataques de phishing, ya que dificulta que el atacante acceda repetidamente a su cuenta. Pero los sofisticados ataques de phishing no solo almacenarán sus credenciales, sino que iniciarán sesión en su cuenta simultáneamente. De esta forma, el atacante puede averiguar de inmediato si las credenciales recopiladas están funcionando y, de lo contrario, pedirle nuevamente la contraseña.

Si los atacantes encuentran un captcha o autenticación de dos factores, le pedirán que ingrese el código en una ventana en su sitio falso y luego lo use para iniciar sesión en su cuenta real.

Facebook y algunas otras compañías le permiten cargar su clave PGP a sus servidores. Después de hacerlo, todos los correos electrónicos que reciba de Facebook serán encriptados y firmados, lo que le facilitará mucho más verificar su autenticidad. Además, si alguien pudiera acceder a su cuenta de correo electrónico, no podría leer sus notificaciones o restablecer su contraseña de Facebook.

Desafortunadamente, la única protección duradera contra los ataques de phishing es el escepticismo saludable, la diligencia debida y una fuerte conciencia. Muchas organizaciones evalúan regularmente a sus empleados sobre su capacidad para detectar y evitar estafas de phishing. En las empresas donde la seguridad cibernética es de la mayor importancia, caer repetidamente en tales pruebas de phishing son motivos para la terminación del empleo..

Imagen destacada: Kluva / Depósito de fotos
Phishing: alexandragl / Deposit Photos

Hacks de Internet: explicación de phishing y spearphishing
admin Author
Sorry! The Author has not filled his profile.