Una de las amenazas más comunes en la selva del Internet es el phishing. Desde las primeras amenazas que surgieron hace algunos años, donde recibías un correo con un enlace a una url que era muy similar a la de algún sitio genuino, tal como netfilx.com o bananamex.com, hasta la actualidad, donde los phishers utilizan una variedad de herramientas para obtener información de tus credenciales para acceder a sitios como bancos, cuentas de correo, pasarelas de pago, etc.
Dado que investigaciones recientes señalan que un sitio nuevo de phishing es creado cada 20 segundos, el problema está lejos de desaparecer sino todo lo contrario.
Esto ha llevado a clasificar el phishing en varios subtipos que se describen a continuación:
Whaling: En es un tipo de phishing focalizado, ya que en vez de suplantar un sitio, intenta suplantar una cuenta de algun CEO o CFO, mediante el cual se dan instrucciones a subordinados para realizar transferencias a las cuentas de los delincuentes. Se han dado casos en que se han transferido grandes sumas de dinero por este tipo de fraude.
Spear Phishing: Similar al whaling en el sentido de que es dirigido a personas específicas, incluyendo datos como nombre,dirección, puesto,teléfono, etc. , intentando engañar al destinatario en el sentido de que existe una relación con el remitente. Un ejemplo de este tipo de phishing que aprovechó una vulnerabilidad en el procesador de texto mas utilizado, se muestra en un detallado reporte de un equipo de una empresa de seguridad en https://unit42.paloaltonetworks.com/unit42-freemilk-highly-targeted-spear-phishing-campaign/
Phishing homográfico: Pocos saben que en los nombres de dominios o urls se pueden usar caracteres del alfabeto no romano,pero que son muy similares a algunos comúnmente usados. De esta forma los delincuentes intentan simular el nombre del dominio utilizando dichos caracteres. Afortunadamente los navegadores mas conocidos en sus versiones actualizadas, muestran el carácter en su alfabeto original, para facilitar el distinguir dichos caracteres.
Captura de credenciales: Los delincuentes envían correos simulando ser de google, yahoo, microsoft, etc. Proporcionan enlaces a sitios que simulan ser los genuinos para obtener datos de usuario y contraseña, con el fin de acceder a los sitios reales y buscar información que les sea de utilidad para otro tipo de fraudes o amenazas. Es de notarse que cuando se accede a estos sitios desde un dispositivo móvil es más difícil identificar cuando se está visitando un sitio falso.
Pharming o Envenenamiento de DNS: El DNS es una forma que ayuda a una navegación mas sencilla al traducir las direcciones IP de los sitios en nombres que todos conocemos y podemos recordar mas fácilmente. Algunos ataques apuntan a los servidores de DNS para alterar los datos que relacionan las urls con a dirección IP. En caso de ser exitoso, al intentar navegar a una página conocida, es posible que estemos siendo dirigidos a un sitio falso para obtener nuestras credenciales de acceso.
Smishing: En este caso los delincuentes utilizan ingeniería social enviando por ejemplo mensajes de texto al teléfono, simulando ser una entidad de confianza, pidiendo acceder al sitio en los enlaces que proporcionan, llevando a un sitio falso donde obtendrán la credenciales de acceso a dichos sitios.
Se muestran ejemplos de casos analizados en https://www.proofpoint.com/us/threat-insight/post/phishing-goes-mobile-sms
Cuando se presentan este tipo de phishing por whatsapp, se conoce como Whishing.
Es por todo lo mencionado que se debe contar con una estrategia contra el phishing dentro de la empresa. Se deben dar sesiones de capacitación y sensibilización a los empleados sobre este tema. Se debe gestionar las actualizaciones críticas del sistema, se debe deshabilitar la ejecución automática de macros en office, así como el uso de un proveedor de DNS confiable (usualmente es el mismo proveedor de internet).
¿Qué estrategia utilizan en tu organización para protegerse del phishing?