What is Phishing?

Phishing is a type of cybersecurity attack during which malicious actors send messages pretending to be a trusted person or entity. Phishing messages manipulate a user, causing them to perform actions like installing a malicious file, clicking a malicious link, or divulging sensitive information such as access credentials.

Phishing is the most common type of social engineering, which is a general term describing attempts to manipulate or trick computer users. Social engineering is an increasingly common threat vector used in almost all security incidents. Social engineering attacks, like phishing, are often combined with other threats, such as malware, code injection, and network attacks.

Forrester Wave for Email Security report Harmony Email & Collaboration

¿Qué es el phishing? Tipos de ataques de phishing

Ataques de phishing: estadísticas y ejemplos

Checkpoint Research recently released its 2023 Mid-Year Cyber Security Report, which provides data about phishing attacks and other major cyber threats.

According to the report, phishing attack was one of the most common methods for spreading malware. The rise of generative AI has recently elevated the phishing threat, helping to eliminate the typos and grammatical errors that made past phishing attacks earlier to detect.

Phishing is also a common technique used by leading malware variants. For example, Qbot, the most common malware in the first half of 2023, is known for its use of phishing as an infection mechanism.

Cómo funciona el phishing

The basic element of a phishing attack is a message sent by email, social media, or other electronic communication means.

Un phisher puede utilizar recursos públicos, especialmente redes sociales, para recopilar información general sobre la experiencia personal y laboral de su víctima. Estas fuentes se utilizan para recopilar información como el nombre, el título del trabajo y la dirección de correo electrónico de la víctima potencial, así como sus intereses y actividades. El phisher puede entonces usar esta información para crear un mensaje falso confiable.

Typically, the emails the victim receives appear to come from a known contact or organization. Attacks are carried out through malicious attachments or links to malicious websites. Attackers often set up fake websites, which appear to be owned by a trusted entity like the victim’s bank, workplace, or university. Via these websites, attackers attempt to collect private information like usernames and passwords or payment information.

Some phishing emails can be identified due to poor copywriting and improper use of fonts, logos, and layouts. However, many cybercriminals are becoming more sophisticated at creating authentic-looking messages and are using professional marketing techniques to test and improve the effectiveness of their emails.

Common Phishing Techniques

phishingpor correo electrónico

Phishers use a variety of techniques to make their attacks look more believable to their targets and to achieve their goals. Some common phishing techniques include:

  • Ingeniería Social: Social engineering uses psychology to manipulate the targets of phishing attacks. A phisher may use deception, coercion, bribery, or other techniques to achieve their goal.
  • Typosquatting: Phishers may use domains and URLs that look very similar to that of a legitimate, trusted domain. If the target isn’t paying sufficient attention, then may believe that the link is legitimate.
  • Email Spoofing: A spoofed email is designed so that the display name of the email belongs to someone that the email recipient trusts. The sender field in an email is just data and is under the control of the sender. Phishers use this fact to make emails appear to come from trusted email accounts.
  • URL Shortening: Link shorteners like bit.ly conceal the target destination of a URL. Phishers use this to trick a target into clicking on a link to a phishing page.
  • Malicious Redirects: Redirects are designed to send a browser to another page if the original URL is unavailable, incorrect, or outdated. Malicious redirects can be used to send a user to a phishing page instead of a legitimate one.
  • Hidden Links: Links can be hidden in seemingly harmless text or images. If a user accidentally clicks the hidden link, they are sent to a phishing page.

5 tipos de ataques de phishing

#1. Email Phishing

La mayoría de los ataques de phishing se envían por correo electrónico. Los atacantes suelen registrar nombres de dominio falsos que imitan a organizaciones reales y envían miles de solicitudes comunes a las víctimas.

For fake domains, attackers may add or replace characters (e.g., my-bank.com instead of mybank.com), use subdomains (e.g., mybank.host.com), or use the trusted organization’s name as the email username (e.g., mybank@host.com).

Many phishing emails use a sense of urgency or a threat to cause a user to comply quickly without checking the source or authenticity of the email.

Los mensajes de phishing por correo electrónico tienen uno de los siguientes objetivos:

  • Causing the user to click a link to a malicious website in order to install malware on their device.
  • Causing the user to download an infected file and using it to deploy malware.
  • Hacer que el usuario haga clic en un enlace a un sitio web falso y envíe datos personales.
  • Hacer que el usuario responda y proporcione datos personales.

#2. Spear Phishing

Spear phishing includes malicious emails sent to specific people. The attacker typically already has some or all of the following information about the victim:

  • Nombre
  • Lugar de empleo
  • Título del trabajo
  • Dirección de correo electrónico
  • Información específica sobre su puesto de trabajo
  • Colegas de confianza, familiares u otros contactos, y muestras de sus escritos

Esta información ayuda a aumentar la eficacia de los correos electrónicos de phishing y a manipular a las víctimas para que realicen tareas y actividades, como transferir dinero.

#3. Whaling

Whaling attacks target senior management and other highly privileged roles. The ultimate goal of whaling is the same as other types of phishing attacks, but the technique is often very subtle. Senior employees commonly have a lot of information in the public domain, and attackers can use this information to craft highly effective attacks.

Typically, these attacks do not use tricks like malicious URLs and fake links. Instead, they leverage highly personalized messages using information they discover in their research about the victim. For example, whaling attackers commonly use bogus tax returns to discover sensitive data about the victim and use it to craft their attack.

#4. Smishing and Vishing

This is a phishing attack that uses a phone instead of written communication. Smishing involves sending fraudulent SMS messages, while vishing involves phone conversations.

En una típica estafa de phishing por voz, un atacante se hace pasar por un investigador de estafas para una compañía de tarjetas de crédito o un banco, e informa a las víctimas que su cuenta ha sido vulnerada. Luego, los delincuentes piden a la víctima que proporcione información de tarjeta de pago, supuestamente para verificar su identidad o transferir dinero a una cuenta segura (que es realmente la del atacante).

Vishing scams may also involve automated phone calls pretending to be from a trusted entity, asking the victim to type personal details using their phone keypad.

#5. Angler Phishing

These attacks use fake social media accounts belonging to well-known organizations. The attacker uses an account handle that mimics a legitimate organization (e.g., “@pizzahutcustomercare”) and uses the same profile picture as the real company account.

Los atacantes aprovechan la tendencia de los consumidores a presentar quejas y solicitar asistencia a las marcas a través de los canales de redes sociales. Sin embargo, en lugar de contactar con la marca real, el consumidor se pone en contacto con la cuenta social falsa del atacante.

Cuando los atacantes reciben tal solicitud, pueden pedirle al cliente que proporcione información personal para que puedan identificar el problema y responder adecuadamente. En otros casos, el atacante proporciona un enlace a una página falsa de atención al cliente, que en realidad es un sitio web malicioso.

¿Cuáles son los signos del phishing?

 

Amenazas o sentido de urgencia

Los correos electrónicos que amenazan consecuencias negativas siempre deben ser tratados con escepticismo. Otra estrategia es usar la urgencia para alentar o exigir una acción inmediata. Los phishers esperan que al leer el correo electrónico a toda prisa, no escudriñen a fondo el contenido y no descubran inconsistencias.

Estilo de mensaje

An immediate indication of phishing is that a message is written with inappropriate language or tone. If, for example, a colleague from work sounds overly casual or a close friend uses formal language, this should trigger suspicion. Recipients of the message should check for anything else that could indicate a phishing message.

Solicitudes inusuales

Si un correo electrónico requiere que realice acciones no estándar, podría indicar que el correo electrónico es malicioso. Por ejemplo, si un correo electrónico dice ser de un equipo de TI específico y pide que se instale software, pero estas actividades suelen ser manejadas centralmente por el departamento de TI, el correo electrónico probablemente sea malicioso.

Errores lingüísticos

Misspellings and grammatical misuse are another sign of phishing emails. Most companies have set up spell-checking in their email clients for outgoing emails. Therefore, emails with spelling or grammatical errors should raise suspicion, as they may not originate from the claimed source.

Inconsistencias en las direcciones web

Otra forma sencilla de identificar posibles ataques de phishing es buscar direcciones de correo electrónico, enlaces y nombres de dominio que no coincidan. Por ejemplo, es una buena idea verificar una comunicación anterior que coincida con la dirección de correo electrónico del remitente.

Recipients should always hover over a link in an email before clicking it to see the actual link destination. If the email is believed to be sent by Bank of America, but the domain of the email address does not contain “bankofamerica.com”, that is a sign of a phishing email.

Request for Credentials, Payment Information, or Other Personal Details

En muchos correos electrónicos de phishing, los atacantes crean páginas de inicio de sesión falsas vinculadas desde correos electrónicos que parecen ser oficiales. La página de inicio de sesión falsa normalmente tiene un cuadro de inicio de sesión o una solicitud de información de cuentas financieras. Si el correo electrónico es inesperado, el destinatario no debe ingresar las credenciales de inicio de sesión ni hacer clic en el enlace. Como precaución, los destinatarios deben visitar directamente el sitio web que creen que es la fuente del correo electrónico.

Cinco formas de proteger su organización de ataques de phishing

A continuación se muestran algunas formas en que su organización puede reducir el riesgo de ataques de phishing.

#1. Employee Awareness Training

Es fundamental capacitar a los empleados para que comprendan las estrategias de phishing, identifiquen signos de phishing e informen incidentes sospechosos al equipo de seguridad.

Similarly, organizations should encourage employees to look for trust badges or stickers from well-known cyber security or antivirus companies before interacting with a website. This shows that the website is serious about security and is probably not fake or malicious.

#2. Deploy Email Security Solutions

Las soluciones modernas de filtrado de correo electrónico pueden proteger contra malware y otras cargas maliciosas en los mensajes de correo electrónico. Las soluciones pueden detectar correos electrónicos que contienen enlaces maliciosos, archivos adjuntos, contenido no deseado y lenguaje que podría sugerir un ataque de phishing.

Las soluciones de seguridad de correo electrónico bloquean y ponen en cuarentena automáticamente los correos electrónicos sospechosos y utilizan la tecnología de sandboxing para “detonar” los correos electrónicos y verificar si contienen código malicioso.

#3. Make Use of Endpoint Monitoring and Protection

El uso cada vez mayor de servicios en la nube y dispositivos personales en el lugar de trabajo ha introducido muchos terminales nuevos que pueden no estar completamente protegidos. Los equipos de seguridad deben asumir que alguna terminal será vulnerada por ataques de terminal. Es esencial monitorear el terminal en busca de amenazas a la seguridad e implementar soluciones y respuestas rápidas en el dispositivo comprometido.

#4. Conduct Phishing Attack Tests

Simulated phishing attack testing can help security teams evaluate the effectiveness of security awareness training programs and help end users better understand attacks. Even if your employees are good at finding suspicious messages, they should be tested regularly to mimic real phishing attacks. The threat landscape continues to evolve, and cyberattack simulations must also evolve.

#5. Limit User Access to High-Value Systems and Data

La mayoría de los métodos de phishing están diseñados para engañar a los operadores humanos, y las cuentas de usuarios privilegiados son objetivos atractivos para los ciberdelincuentes. Restringiendo el acceso a sistemas y datos puede ayudar a proteger los datos confidenciales de fugas. Utilice el principio de los privilegios mínimos y solo dé acceso a los usuarios que lo necesitan absolutamente.

Phishing Protection and Prevention with Check Point

Check Point Harmony Email and Collaboration provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization. To learn more about how Harmony Email and Collaboration can safeguard your organization from the newest phishing threats, request a free demo today.

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.