Què és el phishing?

Com ja gairebé tothom sap el terme phishing prové de la paraula anglesa fishing (pesca). El terme phishing descrit ja al nostre glossari, Fa al·lusió a utilitzar un esquer i esperar que les víctimes «mosseguin l'ham», i els esquers utilitzats cada dia són més variats.

Els cibercriminals el que volen "pescar" són dades confidencials com contrasenyes i números de targetes de crèdit.

Actualment el phishing és la forma més senzilla de ciberatac i, alhora, la més perillosa i efectiva. A diferència d'altres tipus d'amenaces d'Internet, el phishing no requereix coneixements tècnics especialment sofisticats. L'única cosa que premia és l'enginy i el "art de l'engany".

Tipus de phishing

Els atacs de pesca es poden classificar segons l'objectiu contra el qual es dirigeix l'atac, la fi, el mitjà que s'utilitza o segons el mode d'operació. Un atac phishing pot pertànyer a diversos tipus alhora.  Actualment ja s'han comptat més de 10.000 formes de phishing. A continuació, llistem els tipus d'atacs de pesca més freqüents:

  • Phishing general, phishing tradicional, Bulk Phishing o Spray and pray
    L'engany es produeix a través d'l'enviament massiu de correus electrònics que suplanten la identitat, per exemple, de bancs. Persegueixen l'engany de l'usuari i la consecució d'informació. Per exemple, el missatge inclou enllaços a dominis maliciosos. Per camuflar aquests enllaços és habitual que el text de l'enllaç sigui la URL correcta, però lenllaç en si apunti al lloc maliciós.
  • vishing
    Similar al phishing tradicional però l'engany es produeix a través d'una trucada telefònica. El terme deriva de la unió de dues paraules en anglès: ''voice'' i ''phishing''. Un exemple típic dús daquesta tècnica és quan un ciberdelinqüent ja ha robat informació confidencial a través dun atac de phising, però necessita la clau SMS o token digital per realitzar i validar una operació. És en aquell moment el ciberdelinqüent truca per telèfon al client identificant-se com a personal del banc i, amb missatges particularment alarmistes, intenta que el client reveli el número de la seva clau SMS o token digital, que són els necessaris per autoritzar la transacció.
  • Smishing
    Similar a l' phishing tradicional però l'engany es produeix a través missatges de text ja siguin per SMS o missatgeria instantània (Com WhatsApp). Un exemple típic d'aquesta tècnica és quan el client rep un missatge de text, on l'emissor es fa passar pel banc, i li informen que s'ha realitzat una compra sospitosa amb la targeta de crèdit. Al seu torn, el text demana que es comuniqui amb el banc per telèfon de l'entitat financera i li brinda un nombre fals. El client torna la trucada i és aquí quan el ciberdelinqüent, fent-se passar pel banc, sol·licita informació confidencial per suposadament cancel·lar la compra. En una variant d'aquesta modalitat el missatge també podria incloure un enllaç a una 'web' fraudulenta per sol·licitar informació sensible.
  • URL Phishing
    Es tracta d'enganyar l'usuari fent que un URL d'un lloc maliciós sembli la d'un lloc fiable. A elles de vegades s'accedeix de forma inadvertida a l'escriure noms de domini mal escrits que estan molt a prop de l'domini legítim, o seguint un enllaç maliciós que sembla correcte, o per enganys a l'usar caràcters unicode semblants difícilment detectables, especialment en dispositius mòbils, amb pantalles més petites i generalment una resolució de a sota.
  • Whaling
    Es diferencia dels altres tipus d'intents de phishing en què l'objectiu són persones importants com ara executius d'alt rang. Les sol·licituds d'informació contingudes a l'atac estan més adaptades a la persona concreta. Per exemple, la informació presentada pot incloure sol·licituds de citacions, queixes de clients, sol·licituds de transferència bancària o altres sol·licituds relacionades amb transaccions financeres concretes.
  • Business E-mail Compromise (BEC) o estafes Man-in-the-email
    Consisteixen a utilitzar el correu electrònic per desplegar tàctiques de enginyeria social i aconseguir enganyar empleats desprevinguts. Les maneres més habituals d'aquest tipus d'atacs són:
    • CEO Fraud
      Consisteix a fer-se passar per un CEO o un altre executiu d'alt rang que es comunica amb un usuari final de nivell inferior per persuadir-lo de fer certes accions. Per fer aquest tipus d'atac podeu extreure prèviament informació rellevant perquè la sol·licitud sembli el més legítima possible. Per tant, l'atacant pot combinar les diverses tècniques de pesca i enginyeria social.
    • Compromís del compte
      El compte de correu electrònic d'un executiu o empleat és piratejada i utilitzada per sol·licitar pagaments de factures a proveïdors que figuren en els seus contactes de correu electrònic. Els pagaments s'envien a comptes bancaris fraudulentes.
    • Suplantació d'identitat dels advocats
      Els atacants fingeixen ser un advocat o algú de la firma d'advocats suposadament a càrrec d'assumptes crucials i confidencials. Normalment, aquestes sol·licituds falses es realitzen per correu electrònic o per telèfon, i durant el final del dia hàbil.
    • El fals esquema de factures (Bogus Invoice Scheme)
      L'atacant fingeix ser un proveïdor que sol·licita transferències de fons per a pagaments a un compte que controla l'atacant. És típic de les empreses amb proveïdors estrangers.
    • Robatori de dades
      El seu objectiu són els empleats de nivell baix de Recursos humans i comptabilitat i l'objectiu és obtenerles informació personal d'identificació o declaracions d'impostos d'empleats i executius. Aquestes dades poden usar-se per a futurs atacs.
  • Spear Phishing
    L'objectiu a enganyar és una persona o empleat específic d'una companyia en concret. Per a això els cibercriminals recopilen meticulosament informació sobre la víctima per aconseguir la seva confiança. Un correu maliciós de spear phishing ben elaborat (típicament amb enllaç a lloc maliciós o amb document adjunt maliciós) és molt complicat de distingir-ne un de legítim, per la qual cosa acaba sent més fàcil caçar la presa. El spear phishing és una eina típica utilitzada en atacs a empreses, bancs o persones influents i és el mètode d'infecció més utilitzat en campanyes d'APT (Advanced Persistent Threat). Els objectius d'aquest tipus d'atac són tant els alts càrrecs amb accés a informació potencial com els departaments el treball dels quals consisteix a obrir nombrosos documents provinents d'altres fonts.
  • Search Engine phishing
    En aquest tipus datac els estafadors creen el seu propi lloc maliciós i lindexen els motors de cerca legítims. És habitual que aquests llocs maliciosos ofereixin productes barats, oportunitats de feina o fins i tot llencin alertes de virus per als que cal adquirir la seva antivirus. Els compradors en línia trobaran aquests llocs en una pàgina típica de resultats de Google, i pot ser molt difícil notar la diferència amb un lloc legítim. El lloc maliciós convida els usuaris a lliurar la vostra informació personal, com ara el número del document d'identificació o el vostre número de compte bancari per poder realitzar la compra. Aquestes dades es poden fer servir per robar-lo, segrestar la seva identitat o destruir la seva reputació.
  • Phising amb evasió de filtres
    Els mecanismes 'Anti-Phishing' i 'Antimalware'Disposen de mecanismes per detectar atacs. Per exemple:
    • Coneixen les paraules clau que han de buscar en correus electrònics per detectar atacs phishing. Per evadir aquests filtres els atacants usen tècniques de per evadir aquests filtres. Per evitar-ho, es poden utilitzar imatges que contenen text de phishing incrustat per evitar filtres anti-phishing basats en l'anàlisi de cadenes de text.
    • Analitzen els fitxers adjunts per detectar atacs. Per evitar-ho es poden afegir fitxers adjunts protegits amb contrasenya. Aquesta tècnica alhora que evita l'anàlisi de detecció crea una falsa sensació de seguretat.
  • Nigerian phishing
    És la transposició a Internet de la clàssica estafa que utilitza el ganxo de hereves / vídues / secretàries / advocats de milionaris morts / dictadors en desgràcia / negocis segurs etcètera, que necessiten una petita quantitat de diners per a certa gestió que els recompensarà generosament. Les històries s'han adaptat als nous temps i estan ampliant el seu objectiu a empreses i és freqüent habitual la compra de bases de dades d'adreces electròniques corporatives en el mercat negre. Pot semblar irrellevant aquest tipus d'atacs, però l'FBI estima que entre octubre de 2013 i maig de 2016 es van estafar més de 3 mil milions de dòlars.
  • Pharming o DNS-Based Phishing
    L'engany consisteix a redirigir l'usuari a un lloc fals aprofitant vulnerabilitats en el procés de conversió de la seqüència de lletres que componen una URL en una adreça IP. L'atac es pot dirigir contra l'ordinador de l'usuari o aprofitar vulnerabilitat del servidor DNS. El terme «pharming» és una paraula composta pels termes «phishing» i «farming».
  • Addline Phishing
    Consisteix en accedir de forma fraudulenta a el dispositiu de la víctima amb la intenció de robar informació dels comptes personals (correus, PayPal, Amazon, Bitcoin, comptes bancaris, ...), usant serveis Wifi gratuïts maliciosos. Aquests comptes robades, són utilitzades per cometre o realitzar operacions fraudulentes com si fos la persona propietària del compte. D'aquesta manera es dificulta la detecció de l'delinqüent ja que són fetes en nom d'una altra persona.
  • Malware-based phishing
    Es refereix a aquells atacs de phishing que impliquen l'execució d'un programari maliciós en els ordinadors de la víctima. Per exemple, en un correu electrònic que suplanta la identitat d'una marca s'inclou com a adjunt, o accessible a través d'un enllaç, un document PDF que a l'obrir-se infecta el dispositiu de la víctima.
  • Content-Injection phishing
    En aquest tipus datac els atacants reemplacen part del contingut dun lloc legítim amb contingut maliciós dissenyat per obtenir informació confidencial de lusuari. Detectar aquest tipus de phishing serà complicat, ja que la URL serà fiable.
  • Man-in-the-Middle Phishing
    L'atacant es posiciona entre l'ordinador de l'usuari i el servidor, gravant així, la informació que es transmet entre tots dos.
  • Watering Hole Phishing, Watering hole attack o atac d'abeurador
    L'atacant infecta amb codi maliciós llocs web de tercers molt utilitzats pels usuaris de l'organització. D'aquesta manera, quan els usuaris de l'organització accedeixen a aquest lloc web queden infectats. L'atac és altament efectiu ja que, amb la infecció d'un sol lloc, es pot aconseguir que milers de víctimes descarreguin la amenaça. L'èxit s'incrementa si es fan servir vulnerabilitats 0-Day, no conegudes fins i tot públicament i que no han estat solucionades pel fabricant. El seu nom prové de la manera com alguns depredadors del món animal esperen la seva oportunitat per atacar la seva presa a prop dels pous d'aigua que serveixen d'abeurador.
  • Evil Twin
    Es tracta de crear un Punt d'Accés maliciós a una xarxa Wireless, amb aparença de legítim, perquè les víctimes puguin connectar-se i així capturar informació confidencial. Per exemple, redirigint a llocs maliciosos que capturen les nostres credencials.
  • Social Network Phishing
    Són atacs de phishing en què estan involucrades les xarxes socials. Per exemple:
    • Phishing d'injecció de contingut en xarxes socials, inserint contingut maliciós a les xarxes socials. Per exemple, publicació de post falsos publicats per usuaris els comptes es van veure afectades amb aplicacions no autoritzades.
    • Man-in-the-middle social network attack també conegut com social network session hijacking attack. És una forma de phishing on l'atacant es posiciona entre l'usuari i el lloc web d'una xarxa social legítima. La informació que s'envia a la xarxa social passa a través de l'atacant que la llegeix, la processa i fins i tot pot afegir contingut. La manera com l'atacant se situa entre l'usuari i la xarxa social poden ser variades, per exemple, es pot aprofitar d'una vulnerabilitat de la xarxa social, o atraure la víctima a un lloc de phishing (per exemple, una pàgina de inici de sessió falsa de Facebook) on la víctima ingressa el seu nom dusuari i contrasenya que el servidor de phisher utilitza per ingressar al lloc web legítim de la xarxa social i actualitzar i llegir a la xarxa social legítima.
    • Basat en codi maliciós (malware). En aquest tipus d'atac es fa la propagació de missatges de phishing mitjançant l'ús de malware. Per exemple, el compte de Facebook d'una víctima que va instal·lar una aplicació de Facebook no autoritzada envia automàticament missatges a tots els amics de la víctima. Aquests missatges sovint contenen enllaços que permeten als receptors dels missatges instal·lar l'aplicació maliciosa de Facebook en els seus ordinadors o dispositius mòbils.
    • Deceptive phishing. En un escenari típic, un phisher crea un compte que fingeix ser el compte de la víctima. A continuació, el phisher envia sol·licituds d'amistat als amics de la víctima, així com un missatge com he abandonat el meu compte de Facebook anterior. D'ara endavant, poseu-vos amb mi només a través d'aquest compte». A continuació, el phisher comença a enviar missatges als amics de la víctima que exigeixen que el destinatari faci clic a un enllaç. Per exemple, una factura fictícia que es pot cancel·lar fent clic en un enllaç que sol·licita a l'usuari que proporcioni la vostra informació personal.
  • TabNabbing
    Aquest tipus de pesca es basa en el fet que molts acostumen a tenir diverses pestanyes del navegador obertes. L'atac es basa que mentre la víctima revisa els continguts d'altres pestanyes, el lloc maliciós canvia la seva aparença per semblar que es tracta d'un altre lloc. Si no us adoneu que aquest nou lloc no és el que utilitzeu, podeu capturar la informació. Per exemple, el lloc maliciós pot simular que s'ha perdut la connexió a un web de correu electrònic i demanar a la víctima les credencials. Quan les introduïu, us redirigeix a la pàgina original on havia iniciat sessió anteriorment i li fa creure que el seu ingrés de dades va tenir èxit.
  • Man in the Browser (MITB)
    Combina l'ús de tècniques de phishing per instal·lar un troià al navegador de l'usuari, per capturar, modificar i/o inserir informació addicional a les pàgines sense el coneixement de l'usuari. Una tècnica habitual per fer aquest tipus d'atac és la instal·lació d'una extensió maliciosa al navegador. La instal·lació d'aquesta extensió maliciosa la pot fer un programari maliciós o la pròpia víctima pensant que es tracta d'una extensió fiable. El programari maliciós instal·lat al navegador analitzarà el trànsit i quan es carregui una pàgina d'una llista de llocs objectius realitzarà les accions per a les quals està programat.
  • Phishing 2.0.
    Consisteix a utilitzar un intermediari invers transparent per muntar un atac man-in-the-middle contra usuaris. Aquest intermediari fa que, en temps real, sense que lusuari sigui conscient, cada paquet provinent del navegador de la víctima, sigui interceptat, i després enviat al lloc web real. Anàlogament en temps real cada paquet provinent del lloc web real serà interceptat, abans de ser enviat al navegador. A la intercepció, el servidor intermediari invers analitza el contingut del paquet, emmagatzemant el que consideri útil (per exemple, l'identificador d'usuari, contrasenya o cookies de sessió) i fins i tot podent modificar el contingut del paquet. Per poder utilitzar aquestes tècniques amb servidors web que usin https, cal que el servidor proxy tingui instal·lat un certificat https vàlid d'una URL falsa que suplanti la URL del lloc web real. Aquest tipus d'atac, en tenir un control total del trànsit entre el navegador i el servidor, permet atacar sessions amb autenticació multifactor. Eines especialitzades per automatitzar aquest tipus d'atacs són Evilginx2 i Modlishka.
  • phishing mòbil
    Són atacs de phishing especialment orientats als dispositius mòbils. Per exemple:
    • Aprofitar missatges de SMS o d'aplicacions de missatgeria instantània, per exemple, WhatsApp, per manar enllaços falsos.
    • Aprofitar APPs mòbils malicioses per recopilar informació personal. Les dades poden ser introduïdes per l'usuari o obtinguts directament per l'app, per exemple, i accedir als fitxers de dispositiu o usant la informació de geolocalització.
    • Obtenir informació personal com on vivim o on estem en un precís moment, a partir d'aplicacions de venda d'objectes de segona mà com Vibbo o Wallapop.
    • Aprofitar informació de valoracions de restaurants i altres llocs d'interès turístic per esbrinar on és la víctima o per tenir informació sobre ella. Aquesta informació pot ser usada, per exemple, per a un primer contacte de manera que semblin persones de confiança.
  • Hishing o “hardware phishing”
    Consisteix a distribuir codi maliciós (malware) ocultant-lo en equips que seran venuts, ja siguin aquests nous o usats. Aquests codis maliciosos poden amagar-se en telèfons mòbils, equips MP3, etc.

Com es pot comprovar la llista dels atacs de phishing són d'allò més variats i no parés de créixer.

Ara que ja coneixem més a fons tots els mètodes de pesca, el consell bàsic que tots hauríem de seguir és desconfiar.

En seguretat informàtica, desconfiar hauria de ser la base de prevenció: no hem de fiar-nos de qualsevol correu electrònic o missatge de text que ens arribi per molt legítim que sembli al principi.

Ja vam comentar anteriorment al web de l'SOC com la tecnologia "zero trust” també es basa en la filosofia de la desconfiança per verificar la autenticitat.

Comparteix aquest contingut:

Deixa un comentari

Alertes de seguretat

Estigues informat, rep-les al teu email