#MundoHacker: 5 tipologías de phishing que deberías conocer

phishing

Como bien sabe, el mayor peligro a día de hoy en cuanto a seguridad de la información no viene dado por las propias vulnerabilidades de la tecnología, sino por el eslabón más débil de la cadena, que sigue siendo el ser humano.

El phishing es la estrategia más utilizada para conseguir un rédito económico ilegal. Y lo es porque funciona, y porque se suele saltar la mayoría de barreras perimetrales que tiene el sistema.

Este tipos de ataques se basan, como ya hemos hablado en más de una ocasión, en varios de los “puntos débiles” que tenemos como seres gregarios, y que vienen dados por la Ingeniería Social, una disciplina que tiene a cada paso menos de ingeniería y más de sociología.

Por todo ello, me ha parecido interesante dedicar este artículo de la serie #MundoHacker a las 5 tipologías de phishing más habituales que día tras día engordan las arcas de la industria del crimen.

¿Está preparado? Pues siéntese, aprenda, y luego aplíquelo en su vida:

1.- Phishing de clonado o de redireccionamiento

Metería en este grupo todas aquellas campañas de phishing “a la vieja usanza”, esto es, aquellas que buscan engañar a la víctima para que esta inserte X datos en un formulario controlado por el atacante.

PabloYglesias PayPal Phishing

Lo más habitual, es que la campaña se lance masivamente por email, haciéndose pasar por alguien conocido o alguna marca que goce con el respeto de la víctima, pidiéndole a esta que acceda lo antes posible (no podemos permitir que la víctima se tome su tiempo para pensar) para beneficiarse de una oferta (concursos, descarga gratuita de contenido de pago,…), obtener información importante (alguien te ha enviado un mensaje…) o para solucionar un problema muy grave (tu cuenta ha sido bloqueada hasta que demuestres ser tú; no has pagado la última factura y estás a un paso de entrar en lista de morosos,…).

La página a la que llegaríamos, sería o bien una página fail clonada, o bien una página legítima con alguna vulnerabilidad web que ha permitido al atacante meterle un iframe, url ofuscada o código externo controlado por este.

Y el resultado, es el esperable. Tan pronto metamos las credenciales buscadas, esos datos viajarán a un servidor dominio del atacante, y seremos seguramente redirigidos a la web legítima, de forma que la mayoría de las víctimas no se dan cuenta del ataque hasta días, semanas o meses después.

Tiene un elemento que juega a nuestro favor, y es que el ataque se hace por lo general de forma masiva, y por tanto, no enfocado a nuestra persona. Por ello, la tasa de acierto suele ser baja (a poco que nos fijemos, seguramente haya inconsistencias o en la información pedida, o en el email del envío, o en el propio target).

Y también hay que considerar que los tiempos cambian, y ahora los vectores de ataque no tienen porqué ser únicamente el email marketing, sino también las redes sociales y servicios de mensajería.

2.- Phishing de timo

Es otro de los que podríamos considerar tradicionales. Los vectores de ataque provienen del email, de las redes sociales y de los servicios de mensajería, pero hay dos principales diferencias con el anterior:

  • No suelen ser tan masivos como el phishing de clonado: Debido a su funcionamiento (más manual), no puede abarcar a tantísimos target. Al menos a partir de la fase inicial (la toma de contacto).
  • Su objetivo no es robarnos credenciales, sino realizar algún tipo de timo más tradicional: No habrá una página web fraudulenta al final del ataque, sino una espiral de engaños aprovechándose de nuestras debilidades que nos acabará obligando a seguir en contacto con el atacante.

PabloYglesias Phishing nigeriano

Desde esa “novia rusa” a la que le ha gustado tu foto de perfil, y que después de tontear durante unos días, te empieza a pedir dinero para viajar a tu país y conoceros en persona, pasando por ese príncipe nigeriano sin descendencia que casualmente te ha elegido a ti entre todo el resto de personas del mundo para dejarte su dinero… siempre y cuando puedas hacer frente a las continuas retenciones de aduanas/cambio de divisas/impuestos, o el tráfico de fotos comprometidas que has compartido aparentemente con un niño de tu edad, hasta el médico londinense que quiere alquilarte un piso de infarto en medio de Madrid a precio de saldo, y que te enviará por un servicio de mensajería las llaves después de que pagues X depósito.

Estrategias mil para el mismo cometido: El beneficio es muchísimo más grande que los inconvenientes, que vendrán uno a uno, y de menor a mayor. Una vez empiezas (haces el primer pago, o pasas la primera foto comprometida), el timo continúa. Y claro, no vas a echarte atrás si falta tan poco ya…

3.- Spear Phishing

Como decíamos, los dos anteriores están lanzados a un target considerablemente amplio. El spear phishing es justo lo contrario.

Se trata de un phishing dirigido a la consecución de un objetivo específico en una víctima específica. Para ello, se realiza un estudio OSINT avanzado inicial, que permite conocer de antemano qué debilidades podría tener, para enfocar el ataque a que sea lo más creíble posible.

PabloYglesias Spear Phishing

Si el objetivo es atacar a una empresa, lo habitual es buscar a algún administrativo y directivo de ella (sujetos con acceso al sistema y que no suelen tener muchos conocimientos informáticos), y una vez lo hemos engañado, ir ascendiendo en la cadena hasta el equipo de IT, que suele tener acceso a todo el material que nos interesa.

¿Los vectores de ataque? Email, por supuesto, pero también cada vez más redes sociales, en especial las profesionales como LinkedIn. Y es complicado defenderse de este tipo de ataques, ya que el delincuente va a tiro fijo y sabe mucho de nosotros.

4.- Smishing o SMS phishing

El email sigue siendo el canal predilecto para las comunicaciones importantes, pero con la caída del SMS, y su paulativo uso para notificaciones importantes o segundos factores de autenticación, el mensaje de texto empieza a verse como una herramienta fiable para lanzar campañas de phishing.

bestbuy scam

El smishing no es más que un phishing vía SMS, que habitualmente tiene como cometido que envíes un mensaje a un número de tarificación especial (concursos fail, mayormente), la suscripción a servicios premium (esto es, pagos recurrentes) o la multicanalidad con vista a una campaña de phishing avanzada (después de que el supuesto departamento de seguridad de Microsoft te contacte por mail para avisarte que te va a mandar ahora un SMS y debes confirmarles la clave, harás sencillamente todo lo que ellos te pidan).

5.- Vishing o Voice Phishing

Si el smishing es un tipo de phishing vía SMS, el vishing es lo mismo, pero vía centralita de telefónia (o VoIP). Y opera exactamente igual que el anterior. O bien por separado (“Oiga, le llamamos de su operadora, ¿puede confirmarnos que la clave de su router es 1234?”), o bien como apoyo para un ataque de spear phishing más efectivo.

¿Qué podemos hacer para defendernos?

Me gusta siempre terminar este tipo de artículos con algunas recomendaciones al respecto:

  • Primero de todo, pensar: La mayoría de ataques se basan en alguno de los principios de la ingeniería social, sobre todo, en el de la Urgencia. La mejor herramienta que tenemos para defendernos de un phishing es el sentido común. Pararnos y pensar si lo que estamos a punto de hacer tiene sentido, o si lo haríamos si en vez de ser en el mundo digital fuera en el físico.
  • Fijarse en el emisor: ¿Resultaría raro que PayPal se pusiera en contacto con nosotros desde una cuenta de hotmail, verdad? O que esa centralita que nos llama pidiéndonos nuestros datos personales tenga un formato de teléfono móvil. Estos aspectos pueden darnos pistas para levantar las murallas antes de tiempo, y evitarnos disgustos futuros.
  • Nadie cambia “duros por pesetas”: Lo siento, pero si esperas realmente que ese nigeriano te envíe toda su fortuna por lo guapo que eres, casi te mereces el timo. Y lo mismo pasaría con ese trabajo tan genial que te ha caído llovido del cielo en el que únicamente tienes que sacar un dinero de X cuenta, quedarte con el 10%, y meterlo en otra. Quien algo quiere, algo le cuesta. Las ofertas increíbles no existen en el Mundo Real.
  • Una buena política de seguridad: Sobre todo enfocado al mundo corporativo. El phishing, como comentábamos, es capaz de entrar hasta la cocina de cualquier sistema… pero cualquier medida de control que establezcamos disminuye su tasa de acierto. Porque si el administrativo de turno es engañado, pero este no tiene permisos para acercarse al resto del sistema de la compañía, es posible que el ataque se quede ahí. Porque si el email que el atacante le ha enviado no ha pasado los filtros de seguridad establecidos, el administrativo nunca será objetivo del ataque.
  • Y por último: Educación. Simplemente por haber leído este artículo está ahora mismo más preparado para contener los efectos de un phishing. Si educamos a nuestros trabajadores, a nuestro entorno, en la capacidad crítica ante los peligros del mundo virtual, toda la seguridad alrededor nuestra se fortalece. Incluso más que gastando millonadas por sistemas avanzados de control en tiempo real.

 

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias