11 de octubre de 2022 - Ciberriesgos
Phishing es una forma de fraude digital en la que los ciberdelincuentes se hacen pasar por otra persona. Piensa en una autoridad importante o en una persona conocida. A través de un correo electrónico, WhatsApp o SMS que suena urgente, le solicitan información, como datos personales o bancarios. Como empresario, es lógico que no quieras que tu empresa sea víctima de phishing. Por eso, a continuación te explicamos 10 tipos de ataques phishing y algunos consejos para prevenirlos.
10 tipos de ataques phishing
1. Pulverizador phishing
Con el spray phishing, los ciberdelincuentes envían mensajes a un gran número de personas dentro de una campaña de spray phishing por defecto. A veces se trata de diez mil correos electrónicos o mensajes de texto al mismo tiempo. Lanzan una amplia red, por así decirlo, con la esperanza de que algunas personas caigan en la trampa del correo electrónico. Suele tratarse de un correo electrónico de una empresa que solicita actualizar una contraseña o renovar los datos de una tarjeta de crédito.
2. Correo electrónico phishing
El envío de correos electrónicos es una de las formas más comunes de phishing. Estos correos están diseñados para que parezca que proceden de una fuente fiable. Normalmente, en estos correos electrónicos, se le pide que rellene un formulario o que responda al correo electrónico. Así es como los ciberdelincuentes obtienen información personal.
Una forma de correo electrónico phishing es el clon phishing, en el que se copia un correo legítimo y se sustituyen los enlaces y archivos por otros maliciosos. Puede tratarse, por ejemplo, de un archivo de factura, un enlace que contenga un virus o un enlace que le envíe a un sitio web para introducir sus datos personales.
3. Móvil phishing
Mobile phishing también se conoce como smishing o SMS phishing. Recibirá un mensaje del autor con la urgencia de que actúe. Piense en llamar a un número de teléfono o hacer clic en un enlace a un sitio web. A menudo, le pedirán información personal, como contraseñas o datos de su tarjeta de crédito.
La otra forma de phishing móvil es el teléfono phishing o vishing. Con esta forma de phishing, no recibirá un mensaje, sino que le llamarán. Los atacantes se hacen pasar por su banco, la policía u otras empresas u organismos. Intentan asustarle para que tome medidas, a menudo transferir dinero.
4. Persecución en ambulancia
Con este tipo de ataques phishing , los ciberdelincuentes aprovechan los acontecimientos actuales. Piense en pedir donaciones para fondos de ayuda, desastres naturales o guerras. Los agresores pueden recopilar datos personales y sacar dinero a las víctimas.
5. Cuenta caducada/cambio de contraseña
Recibirá un mensaje por correo electrónico o a través de su móvil con la solicitud de restablecer su contraseña. Estos mensajes a menudo parecen proceder de una fuente fiable y a veces son difíciles de distinguir de los mensajes reales. Por ejemplo, considere un mensaje de su banco. Si ha cambiado la contraseña a través de un enlace que el correo electrónico, el autor tiene la información necesaria para acceder a su cuenta bancaria.
6. Caza de ballenas phishing
En este ataque phishing , también conocido como business e-mail compromise, los ciberdelincuentes se dirigen a las grandes ballenas, es decir, a los empleados con un alto cargo dentro de una organización. A menudo se hacen pasar por un empleado de alto rango dentro de la organización para hacer creíble el acceso a información financiera o plataformas corporativas.
7. Wifi gemelo
Un gemelo WiFi es una red WiFi que copia la dirección de otra red. Cualquiera que se conecte a ella también quedará expuesto a los hackers. De este modo, obtienen acceso a contraseñas y otra información. Este tipo de ataque phishing suele producirse en zonas públicas como centros comerciales, cafeterías y aeropuertos. Así que no siempre es buena idea conectarse a una red Wi-Fi pública.
8. Lanza phishing
Spear phishing es un ataque muy personal phishing . Esto se debe a que el atacante finge ser una persona que conoce bien al objetivo. El objetivo está bien investigado para ello, por lo que el ataque parece muy personal. El propósito de esto es obtener acceso a información sensible para explotar al objetivo.
9. Pretextos
Este tipo de ataque phishing es muy eficaz porque da una sensación de legitimidad. Las víctimas recibirán inicialmente un mensaje por un canal distinto del correo electrónico para hacerles saber que en breve recibirán un correo electrónico. Por ejemplo, se hacen pasar por un proveedor e indican que la víctima recibirá en breve un presupuesto por correo electrónico. Así, en el correo electrónico final se hace referencia a este contacto telefónico, lo que hace que parezca más fiable.
10. Man-in-the-Middle
Por último, hablaremos de una forma bastante complicada de phishing: man-in-the-middle. El ciberdelincuente intercepta los correos electrónicos entre dos personas. El ciberdelincuente intercepta los correos electrónicos entre dos personas y los reenvía a estas dos personas, que piensan que proceden la una de la otra. De este modo, aumenta la confianza en los correos electrónicos, lo que permite al delincuente solicitar datos privados y otra información.
Consejos para prevenir los tipos de ataques phishing
1. Formación del personal
Si forma a su personal para que reconozca los tipos de phishing y los desencadenantes psicológicos que se utilizan, podrá evitar muchos ataques. Por ejemplo, aprenden a comprobar los remitentes de los mensajes, a no hacer nunca clic sin más en un enlace o archivo y a comprobar si un mensaje contiene phishing. Otras cosas que debe vigilar el personal son:
- El saludo: los correos electrónicos de phishing no suelen tener suficientes datos personales para vincular un nombre a la dirección. Por ello, los correos electrónicos suelen tener una orientación impersonal.
- Enlaces y archivos adjuntos inesperados: los correos electrónicos de Phishing suelen contener un enlace o un archivo adjunto.
- Gramática y ortografía: los correos electrónicos de phishing suelen contener errores lingüísticos.
- Urgencia: sin duda, en combinación con los demás puntos, es un claro indicio de un mensaje phishing .
2. No haga clic en todo
Usted y sus empleados nunca deben hacer clic en todos los enlaces reenviados, aunque parezcan proceder de una fuente fiable. Compruebe siempre primero si el correo electrónico procede realmente de esa fuente. Por ejemplo, puede navegar manualmente hasta el enlace introduciendo la dirección web legítima en el navegador. Si el enlace no es visible porque está vinculado a parte del texto del mensaje, puedes pasar el ratón por encima del enlace. Así podrás ver si se trata de una dirección web legítima.
3. Comprobar HTTPS
Especialmente cuando le pidan que comparta información sensible, debe comprobar si la URL empieza por HTTPS en lugar de HTTP. La S adicional no garantiza que sea un sitio web seguro, pero está mejor protegido contra los piratas informáticos que un sitio HTTP.
4. Utilizar Guardey
En Guardey, hacemos todo lo posible para garantizar que su empresa esté lo mejor protegida posible contra los ataques de phishing . Lo hacemos, entre otras cosas, proporcionando una conexión VPN empresarial a través de nuestra app que está continuamente monitorizada. En caso de amenaza en línea, recibirá un mensaje directo. Así, sabrás si hay algún comportamiento que no pertenece a tu red. Además, en Guardey creemos que es crucial ir más allá. Por eso, nuestra app también ofrece formación en ciberseguridad para ti y tu equipo, a través de un juego interactivo.
Pruebe Guardey ahora completamente gratis durante 14 días. Así será el primero en saber que hay malware en su ordenador y podrá tomar inmediatamente las medidas adecuadas.