¿Qué es el phishing?

Como ya casi todo el mundo sabe el término phishing proviene de la palabra inglesa «fishing» (pesca). El término phishing descrito ya en nuestro glosario, hace alusión a utilizar un cebo y esperar a que las víctimas «muerdan el anzuelo», y los cebos utilizados cada día son más variados.

Los cibercriminales lo que quieren “pescar” son datos confidenciales como contraseñas y números de tarjetas de crédito.

Actualmente el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. A diferencia de otros tipos de amenazas de Internet, el phishing no requiere conocimientos técnicos especialmente sofisticados. Lo único que premia es el ingenio y el “arte del engaño”.

Tipos de phishing

Los ataques de phishing se pueden clasificar según el objetivo contra el que se dirige el ataque, el fin, el medio que se utiliza o según el modo de operación. Un ataque phishing puede pertenecer a varios tipos a la vez.  Actualmente ya se han contado más de 10.000 formas de phishing. A continuación, listamos los tipos de ataques de phishing más frecuentes:

  • Phishing general, phishing tradicional, Bulk Phishing o Spray and pray
    El engaño se produce a través del envío masivo de correos electrónicos que suplantan la identidad, por ejemplo, de bancos. Con ellos persiguen el engaño del usuario y la consecución de información. Por ejemplo, en el mensaje se incluyen enlaces a dominios maliciosos. Para camuflar estos enlaces es habitual que el texto del enlace sea la URL correcta, pero el enlace en sí apunte al sitio malicioso.
  • Vishing
    Similar al phishing tradicional pero el engaño se produce a través de una llamada telefónica. El término deriva de la unión de dos palabras en inglés: ‘’voice’’ y ‘’phishing’’. Un ejemplo típico de uso de esta técnica es cuando un ciberdelincuente ha robado ya información confidencial a través de un ataque de phising, pero necesita la clave SMS o token digital para realizar y validar una operación. Es en ese momento el ciberdelincuente llama por teléfono al cliente identificándose como personal del banco y, con mensajes particularmente alarmistas, intenta de que el cliente revele el número de su clave SMS o token digital, que son los necesarios para autorizar la transacción.
  • Smishing
    Similar al phishing tradicional pero el engaño se produce a través mensajes de texto ya sean por SMS o mensajería instantánea (como WhatsApp). Un ejemplo típico de esta técnica es cuando el cliente recibe un mensaje de texto, donde el emisor se hace pasar por el banco, y le informan que se ha realizado una compra sospechosa con su tarjeta de crédito. A su vez, el texto solicita que se comunique con el banco por teléfono de la entidad financiera y le brinda un número falso. El cliente devuelve la llamada y es ahí cuando el ciberdelincuente, haciéndose pasar por el banco, solicita información confidencial para supuestamente cancelar la compra. En una variante de esta modalidad el mensaje también podría incluir un enlace a una ‘web’ fraudulenta para solicitar información sensible.
  • URL Phishing
    Se trata de engañar al usuario haciendo que una URL de un sitio malicioso parezca la de un sitio confiable. A ellas a veces se accede de forma inadvertida al escribir nombres de dominio mal escritos que están muy cerca del dominio legítimo, o siguiendo un enlace malicioso que parece correcto, o por engaños al usar caracteres unicode parecidos difícilmente detectables, especialmente en dispositivos móviles, con pantallas más pequeñas y generalmente una resolución de pantalla inferior.
  • Whaling
    Se diferencia de los otros tipos de intentos de phishing en que el objetivo son personas importantes como por ejemplo ejecutivos de alto rango. Las solicitudes de información contenidas en el ataque están más adaptadas a la persona concreta. Por ejemplo, la información presentada puede incluir solicitudes de citaciones, quejas de clientes, solicitudes de transferencia bancaria u otras solicitudes relacionadas con transacciones financieras concretas.
  • Business Email Compromise (BEC) o estafas Man-in-the-Email
    Consisten en usar el correo electrónico para desplegar tácticas de ingeniería social y conseguir engañar a empleados desprevenidos. Las formas más habituales de este tipo de ataques son:
    • CEO Fraud
      Consiste en hacerse pasar por un CEO u otro ejecutivo de alto rango que se comunica con un usuario final de nivel inferior para persuadirlo de realizar ciertas acciones. Para realizar este tipo de ataque pueden extraer previamente información relevante para que la solicitud parezca lo más legítima posible. Por lo tanto, el atacante puede combinar las diversas técnicas de phishing e ingeniería social.
    • Compromiso de la cuenta
      La cuenta de correo electrónico de un ejecutivo o empleado es pirateada y utilizada para solicitar pagos de facturas a proveedores que figuran en sus contactos de correo electrónico. Los pagos se envían a cuentas bancarias fraudulentas.
    • Suplantación de identidad de los abogados
      Los atacantes fingen ser un abogado o alguien de la firma de abogados supuestamente a cargo de asuntos cruciales y confidenciales. Normalmente, tales solicitudes falsas se realizan por correo electrónico o por teléfono, y durante el final del día hábil.
    • El falso esquema de facturas (Bogus Invoice Scheme)
      El atacante finge ser un proveedor que solicita transferencias de fondos para pagos a una cuenta que controla el atacante. Es típico de las empresas con proveedores extranjeros.
    • Robo de datos
      Su objetivo son los empleados de nivel bajo de Recursos humanos y contabilidad y el objetivo es obtenerles información de identificación personal o declaraciones de impuestos de empleados y ejecutivos. Dichos datos pueden usarse para futuros ataques.
  • Spear Phishing
    El objetivo a engañar es una persona o empleado específico de una compañía en concreto. Para ello los cibercriminales recopilan meticulosamente información sobre la víctima para conseguir su confianza. Un correo malicioso de spear phishing bien elaborado (típicamente con enlace a sitio malicioso o con documento adjunto malicioso) es muy complicado de distinguir de uno legítimo, por lo que acaba siendo más fácil cazar a la presa. El spear phishing es una herramienta típica usada en ataques a empresas, bancos o personas influyentes y es el método de infección más utilizado en campañas de APT (Advanced Persistent Threat). Los objetivos de este tipo de ataque son tanto los altos cargos con acceso a información potencial, como los departamentos cuyo trabajo consiste en abrir numerosos documentos provenientes de otras fuentes.
  • Search Engine phishing
    En este tipo de ataque los estafadores crean su propio sitio malicioso y lo indexan los motores de búsqueda legítimos. Es habitual que estos sitios maliciosos ofrezcan productos baratos, oportunidades de empleo o incluso lancen alertas de virus para los que es necesario adquirir su antivirus. Los compradores en línea encontrarán estos sitios en una página típica de resultados de Google, y puede ser muy difícil notar la diferencia con un sitio legítimo. El sitio malicioso invita a los usuarios a entregar su información personal, como el número del documento de identificación o su número de cuenta bancaria para poder realizar la compra. Estos datos se pueden usar para robarle, secuestrar su identidad o destruir su reputación.
  • Phising con evasión de filtros
    Los mecanismos ‘Anti-Phishing’ y ‘Anti-malware’ disponen de mecanismos para detectar ataques. Por ejemplo:
    • Conocen las palabras clave que deben buscar en correos electrónicos para detectar ataques de phishing. Para evadir esos filtros los atacantes usan técnicas de para evadir esos filtros. Para evitarlo se pueden usar imágenes que contienen texto de phishing incrustado para evitar filtros anti-phishing basados en el análisis de cadenas de texto.
    • Analizan los ficheros adjuntos para detectar ataques. Para evitarlo se pueden añadir ficheros adjuntos protegidos con contraseña. Esta técnica a la vez que evita el análisis de detección crea una falsa sensación de seguridad.
  • Nigerian phishing
    Es la transposición a Internet de la clásica estafa que utiliza el gancho de herederas/viudas/secretarias/abogados de millonarios fallecidos/dictadores en desgracia/negocios seguros etcétera, que necesitan una pequeña cantidad de dinero para cierta gestión que les recompensará generosamente. Las historias se han adaptado a los nuevos tiempos y están ampliando su objetivo a empresas siendo frecuente habitual la compra de bases de datos de direcciones electrónicas corporativas en el mercado negro. Puede parecer irrelevante este tipo de ataques, pero el FBI estima que entre octubre de 2013 y mayo de 2016 se estafaron más de 3 mil millones de dólares.
  • Pharming o DNS-Based Phishing
    El engaño consiste en redirigir al usuario a un sitio falso aprovechando para ello vulnerabilidades en el proceso de conversión de la secuencia de letras que componen una URL en una dirección IP. El ataque puede ser dirigido contra el ordenador del usuario o aprovechar vulnerabilidad del servidor DNS. El término «pharming» es una palabra compuesta por los términos «phishing» y «farming».
  • Addline Phishing
    Consiste en acceder de forma fraudulenta al dispositivo de la víctima con la intención de robar información de las cuentas personales (correos, PayPal, Amazon, Bitcoin, cuentas bancarias, …), usando servicios Wifi gratuitos maliciosos. Estas cuentas robadas, son utilizadas para cometer o realizar operaciones fraudulentas como si fuera la persona dueña de la cuenta. De esta forma se dificulta la detección del delincuente ya que son hechas en nombre de otra persona.
  • Malware-based phishing
    Se refiere a aquellos ataques de phishing que implican la ejecución de un software malicioso en los ordenadores de la víctima. Por ejemplo, en un correo electrónico que suplanta la identidad de una marca se incluye como adjunto, o es accesible a través de un enlace, un documento PDF que al abrirse infecta el dispositivo de la víctima.
  • Content-Injection phishing
    En este tipo de ataque los atacantes reemplazan parte del contenido de un sitio legítimo con contenido malicioso diseñado para obtener información confidencial del usuario. Detectar este tipo de phishing será complicado, pues la URL será confiable.
  • Man-in-the-Middle Phishing
    El atacante se posiciona entre el ordenador del usuario y el servidor, grabando así, la información que se transmite entre ambos.
  • Watering Hole Phishing, watering hole attack o ataque de abrevadero
    El atacante infecta con malware sitios web de terceros muy utilizados por los usuarios de la organización. De esta forma cuando los usuarios de la organización acceden a ese sitio web quedan infectados. El ataque es altamente efectivo ya que, con la infección de un solo sitio, se puede lograr que miles de víctimas descarguen la amenaza. El éxito se incrementa si se usa vulnerabilidades 0-Day, no conocidas aun públicamente y que no han sido solucionadas por el fabricante. Su nombre proviene de la forma en que algunos depredadores del mundo animal esperan su oportunidad para atacar a su presa cerca de los pozos de agua que sirven de abrevadero.
  • Evil Twin
    Se trata de crear un Punto de Acceso malicioso a una red Wireless, con apariencia de legítimo, para que las víctimas puedan conectarse y así capturar información confidencial. Por ejemplo, redirigiendo a sitios maliciosos que capturan nuestras credenciales.
  • Social Network Phishing
    Son ataques de phishing en los que están involucradas las redes sociales. Por ejemplo:
    • Phishing de inyección de contenido en redes sociales, insertando contenido malicioso en las redes sociales. Por ejemplo, publicación de post falsos publicados por usuarios cuyas cuentas se vieron afectadas con aplicaciones no autorizadas.
    • Man-in-the-middle social network attack también conocido como social network session hijacking attack. Es una forma de phishing en la que el atacante se posiciona entre el usuario y el sitio web de una red social legítima. La información que se manda a la red social pasa a través del atacante el cual la lee, la procesa e incluso puede añadir contenido. La forma en que el atacante se sitúa entre el usuario y la red social pueden ser variadas, por ejemplo, se puede aprovechar de una vulnerabilidad de la red social, o atraer a la víctima a un sitio de phishing (por ejemplo, una página de inicio de sesión falsa de Facebook) donde la víctima ingresa su nombre de usuario y contraseña que el servidor de phisher utiliza para ingresar al sitio web legítimo de la red social y actualizar y leer en la red social legítima.
    • Basado en malware. En este tipo de ataque se realiza la propagación de mensajes de phishing mediante el uso de malware. Por ejemplo, la cuenta de Facebook de una víctima que instaló una aplicación de Facebook no autorizada envía automáticamente mensajes a todos los amigos de la víctima. Dichos mensajes a menudo contienen enlaces que permiten a los receptores de los mensajes instalar la aplicación maliciosa de Facebook en sus computadoras o dispositivos móviles.
    • Deceptive phishing. En un escenario típico, un phisher crea una cuenta que finge ser la cuenta de la víctima. A continuación, el phisher envía solicitudes de amistad a los amigos de la víctima, así como un mensaje como «He abandonado mi cuenta de Facebook anterior. De ahora en adelante, comuníquese conmigo solo a través de esta cuenta». A continuación, el phisher comienza a enviar mensajes a los amigos de la víctima que exigen que el destinatario haga clic en un enlace. Por ejemplo una factura ficticia que se puede cancelar haciendo clic en un enlace que solicita al usuario que proporcione su información personal.
  • Tabnabbing
    Este tipo de phishing se basa en el hecho de que muchos acostumbran a tener varias pestañas del navegador abiertas. El ataque se basa en que mientras la víctima revisa los contenidos de otras pestañas, el sitio malicioso cambia su apariencia para parecer que se trata de otro sitio. Si no se da cuenta de que este nuevo sitio no es el que estaba utilizando, puede capturar la información. Por ejemplo, el sitio malicioso puede simular que se ha perdido la conexión a una web de correo electrónico y pedirle a la víctima las credenciales. Cuando las introduce, le redirige a la página original donde había iniciado sesión anteriormente y le hace creer que su ingreso de datos tuvo éxito.
  • Man in the Browser (MITB)
    Combina el uso de técnicas de phishing para instalar un troyano en el navegador del usuario, para capturar, modificar y/o insertar información adicional en las páginas sin el conocimiento del usuario. Una técnica habitual para realizar este tipo de ataque es la instalación de una extensión maliciosa en el navegador. La instalación de esta extensión maliciosa puede ser realizada por un software malicioso o por la propia víctima pensando que se trata de una extensión fiable. El malware instalado en el navegador analizará el tráfico y cuando se cargue una página de una lista de sitios objetivos realizará las acciones para las que está programado.
  • Phishing 2.0.
    Consiste en utilizar un proxy inverso transparente para montar un ataque man-in-the-middle contra usuarios. Este intermediario hace que, en tiempo real, sin que el usuario sea consciente, cada paquete proveniente del navegador de la víctima, sea interceptado, y después enviado al sitio web real. Análogamente en tiempo real cada paquete proveniente del sitio web real será interceptado, antes de ser enviado al navegador. En la interceptación, el proxy inverso analiza el contenido del paquete, almacenando lo que considere útil (por ejemplo, el identificador de usuario, contraseña o cookies de sesión) y pudiendo incluso modificar el contenido del paquete. Para poder usar estas técnicas con servidores web que usen https, es necesario que el servidor proxy tenga instalado un certificado https válido de una URL falsa que suplante a la URl del sitio web real. Este tipo de ataque, al tener un control total del tráfico entre el navegador y el servidor, permite atacar sesiones con autenticación multifactor. Herramientas especializadas para automatizar este tipo de ataques son Evilginx2 y Modlishka.
  • Phishing móvil
    Son ataques de phishing especialmente orientados a los dispositivos móviles. Por ejemplo:
    • Aprovechar mensajes de SMS o de aplicaciones de mensajería instantánea, por ejemplo, Whatsapp, para mandar enlaces falsos.
    • Aprovechar APPs móviles maliciosas para recopilar información personal. Los datos pueden ser introducidos por el usuario u obtenidos directamente por la app, por ejemplo, accediendo a los ficheros del dispositivo o usando la información de geolocalización.
    • Obtener información personal como dónde vivimos o dónde estamos en un preciso momento, a partir de aplicaciones de venta de objetos de segunda mano como Vibbo o Wallapop.
    • Aprovechar información de valoraciones de restaurantes y otros sitios de interés turístico para averiguar dónde está la víctima o para tener información sobre ella. Esta información puede ser usada, por ejemplo, para un primer contacto de tal manera que parezcan personas de confianza.
  • Hishing o “hardware phishing”
    Consiste en distribuir malware ocultándolo en equipos que van a ser vendidos, ya sean estos nuevos o usados. Estos códigos maliciosos pueden ocultarse en teléfonos móviles, equipos MP3, etc.

Como se puede comprobar la lista de los ataques de phishing son de lo más variados y no parara de crecer.

Ahora que ya conocemos más a fondo todos los métodos de phishing, el consejo básico que todos deberíamos seguir es desconfiar.

En seguridad informática, desconfiar debería ser la base de prevención: no debemos fiarnos de cualquier correo electrónico o mensaje de texto que nos llegue por muy legítimo que parezca en un principio.

Ya comentamos anteriormente en la web del SOC como la tecnología “zero trust” también se basa en la filosofía de la desconfianza para verificar la autenticidad.

Comparte este contenido:

Deja un comentario

Alertas de seguridad

Mantente informado, recíbelas a tu email