Todos los diferentes tipos de ataques de phishing

Publicado: 2022-07-27

El phishing es una de las amenazas cibernéticas más comunes que enfrentan las empresas en la actualidad.

Siendo tan común, es bastante sorprendente saber que tantas personas desconocen exactamente qué es y significa el phishing, además de todas las diferentes variaciones de ataques de phishing que existen.

Incluso aquellos que saben lo que es el phishing quedan atrapados. Según un informe reciente de 2021, más del 80 % de las organizaciones fueron víctimas de ataques de phishing el año pasado.

Es por eso que el equipo de Data Connect está ayudando a crear conciencia sobre algunos de los diferentes tipos de ataques de phishing con esta útil guía.

A continuación se enumeran algunos de los tipos más comunes.

El impacto de los ataques de phishing

prueba de phishing de google
Imagen: Google

Las organizaciones deben lidiar con muchas consecuencias después de ser víctimas de un ataque de phishing.

Dado que los ataques cibernéticos aumentan cada año, con enfoques mucho más complejos, los miembros de una organización deben ser conscientes de los riesgos e impactos de los ataques de phishing no solo en su seguridad cibernética sino en la empresa en su conjunto.

Según los datos de Tessian, los resultados más comunes de un ataque de phishing incluyen:

  • Pérdida de datos
  • Credenciales y/o cuentas comprometidas
  • Organizaciones infectadas con ransomware
  • Infección de software malicioso
  • Pérdidas financieras

Los ataques de phishing no solo crean escenarios complicados para que las organizaciones los superen, sino que también ponen a la empresa en riesgo de multas, interrupción, pérdida de negocios e ingresos.

Además, el costo de remediar los daños causados ​​por un ataque a menudo puede ser extremadamente costoso. Por lo tanto, es importante comprender los ataques de phishing y conocer sus diferentes tipos.

Estas son seis de las técnicas de phishing más comunes de los ciberdelincuentes este año.

Suplantación de identidad por correo electrónico

logotipo de gmail
Imagen: KnowTechie

El estilo de phishing más común y prolífico es el phishing por correo electrónico. Si solo sabe un poco sobre los ataques de phishing, seguramente se encontrará con un ataque transmitido por correo electrónico.

El ataque ocurre cuando se envía un correo electrónico malicioso a personas, a menudo haciéndose pasar por una organización auténtica.

Con el simple clic de un enlace, los ciberdelincuentes pueden infectar su dispositivo con malware o manipularlo aún más para que brinde su información personal.

Un informe reciente de seguridad cibernética de Cisco encontró que al menos una persona hizo clic en un enlace de phishing en alrededor del 86 % de las organizaciones en 2021, lo que demuestra cuán frecuentes son realmente estos ataques y el riesgo que representan.

suplantación de identidad

Spear phishing es el término utilizado para describir un tipo de ataque de phishing en el que el ciberdelincuente se dirige a un individuo en lugar de a una base genérica de usuarios masivos.

En cuanto a la tasa de "éxito", estos ataques funcionan debido a la suplantación de contenido legítimo (imitación de correos electrónicos reales).

El correo electrónico puede contener el nombre del destinatario y detalles específicos, como su función, número de teléfono y otros detalles para que sea lo más creíble posible.

También puede incluir marcas de confianza con las que el atacante sabe que interactúa la persona. Esta es una de las razones más comunes por las que las personas son víctimas de estafas de phishing cada año.

Ballenero

La caza de ballenas es un tipo específico de ataque de phishing que se utiliza para atacar a personas de alto nivel, con mayor frecuencia directores ejecutivos y directores de organizaciones.

El culpable del ataque engañará a la persona con correos electrónicos falsos para obtener acceso a sus credenciales, instalar malware en sus máquinas o obligarla a transferir dinero.

Los directores suelen ser objeto de ataques debido a su autoridad dentro de una empresa y la probabilidad de que tengan acceso a información más confidencial.

Un ejemplo de esto es el envío de correos electrónicos de ellos a otras personas de la organización para ganar su confianza y acceder más a los datos de la empresa.

Smishing y vishing

ejemplo de ataque smishing
Imagen: KnowTechie

Estos son dos estilos de ataques de phishing que utilizan formas alternativas de comunicación, alejándose de los correos electrónicos.

Smishing se refiere al phishing por SMS, el envío de un mensaje de texto para atraer a las víctimas.

A menudo, los delincuentes falsifican negocios legítimos y utilizan técnicas de ingeniería social como exigir urgencia para manipular a las víctimas para que participen.

Según Tessian, el 56 % de los empleados han recibido un mensaje de texto fraudulento y el 32 % cumplió con las solicitudes.

A menudo, estos textos alentarán al destinatario a completar uno de varios pasos, que incluyen:

  • Abrir un enlace a un sitio fraudulento
  • Ponerse en contacto con una persona
  • Descargar un archivo adjunto o una aplicación

Las estadísticas sugieren que este estilo de ataque de phishing está en aumento, y la cantidad de mensajes de texto de smishing recibidos casi se triplicó entre 2019 y 2020.

Es posible que haya recibido un mensaje de texto fraudulento a raíz de la pandemia de COVID-19, donde los delincuentes se aprovecharon de la situación actual para atacar a las personas vulnerables.

Vishing significa "phishing de voz" y se entrega por teléfono para obligar a las víctimas a compartir información confidencial. La mayoría de las personas ya conocen este tipo de phishing.

Esto significa que se ha vuelto más sofisticado y, a menudo, no es la primera etapa de un ataque (por ejemplo, investigar primero a la víctima o al negocio).

Suplantación de identidad en redes sociales

Imagen: bandt.com.au

El phishing en redes sociales es exactamente como su nombre indica, un ataque ejecutado a través de plataformas de redes sociales. Esto incluye plataformas populares como Facebook, Twitter, LinkedIn e Instagram.

Por lo general, esto se usará para obtener el control de una cuenta de redes sociales; sin embargo, para las empresas, este método también puede permitir que los actores maliciosos obtengan datos y credenciales a través de los perfiles de empleados individuales.

Con el uso de LinkedIn, ahora es aún más fácil para los delincuentes encontrar la información que necesitan para llevar a cabo este tipo de ataques.

Cuando se trata de protegerse a sí mismo y a su organización de los ataques de phishing, algunos pasos importantes a seguir incluyen:

  • Capacite a sus equipos para reconocer correos electrónicos de phishing con simulaciones y capacitación de phishing
  • Ayude a crear una cultura en la que los empleados se sientan bienvenidos a hacer preguntas de seguridad e informar actividades sospechosas o errores
  • Limite la cantidad de daño que puede causar el malware restringiendo el acceso del administrador solo a aquellos que lo requieran para su función.
  • Utilice la autenticación multifactor (MFA) para todas las cuentas

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

  • OpenSea advierte a los usuarios de los intentos de phishing de NFT después de la fuga de correo electrónico
  • Proteja su pequeña empresa de los ataques de phishing
  • Tipos de ataques de phishing contra los que protegerse
  • Soluciones anti phishing: ¿necesita una?