7 estrategias más de phishing que pueden estar dirigidas a su empresa en este momento y cómo identificarlas

by | October 20, 2021 | Ciberseguridad, Cómo, Guías de ATTACK Simulator

Con todos los peligros cibernéticos que acechan en los rincones oscuros de Internet, es hora de que descubras otras siete estrategias comunes de phishing que pueden estar amenazando a tu empresa mientras lees esto.

El phishing es la causa principal de devastadores ataques de ransomware, robo de datos, etc. Siga leyendo para conocer algunas técnicas más que utilizan los estafadores para obtener grandes pagos.

Las estrategias de phishing se han convertido en enfoques altamente sofisticados a lo largo de los años.

Phishing: ¿qué es?

En un ataque de phishing, el phisher se hace pasar por una persona o entidad en la que el objetivo confiaría y le entregaría información confidencial. Por lo general, ocurre a través de un correo electrónico que contiene un archivo adjunto malicioso (malware, troyano, un archivo PDF o DOC, etc.) o un enlace que redirige al destinatario a un sitio de phishing que roba credenciales. A partir de este momento, irrumpir en todo el sistema de su empresa es pan comido.

7 estrategias de phishing a tener en cuenta

1. Phishing HTTPS

Se cree que HTTPS (protocolo de transferencia de hipertexto seguro) es una URL “segura” en la que hacer clic porque utiliza cifrado para maximizar la seguridad. La mayoría de las empresas de renombre ahora usan HTTPS y no HTTP, ya que les da un fuerte sentido de legitimidad. Sin embargo, los estafadores están explotando activamente HTTPS en los enlaces que incluyen en los correos electrónicos de phishing. Cómo detectarlo:

Cuando intente decidir si un enlace es legítimo o no, tenga en cuenta:

  • Enlace abreviado: asegúrese de que el enlace esté en su forma original, de cola larga y muestre todas las partes de la URL.
  • Hipertexto: estos son enlaces en los que se puede hacer clic incrustados en el texto para ocultar la URL real.

2. Angler Phishing

Al igual que vishing y smishing, el pescador de phishing es un ataque en el que los estafadores aprovechan las notificaciones o las funciones de mensajería directa en una aplicación de redes sociales para persuadir a un objetivo de que realice la acción deseada.

Cómo detectarlo:

  • Notificaciones: tenga cuidado con las notificaciones que dicen que ha sido agregado a una publicación, ya que pueden incluir enlaces que lo redireccionen a sitios maliciosos.
  • DM inusuales: tenga cuidado con los mensajes directos de personas que no suelen utilizar esta función porque la cuenta puede ser falsificada o recreada ilícitamente.
  • URL a sitios web: no haga clic en un enlace en un DM, incluso si parece genuino, a menos que sepa que el remitente tiene la costumbre de compartir enlaces interesantes con usted de esta manera.

3. Pharming

El pharming es un enfoque más técnico y difícil de detectar, en el que los piratas informáticos secuestran un DNS (servidor de nombres de dominio) para traducir URL en direcciones IP. Luego, cuando el objetivo ingresa la dirección del sitio web, el servidor DNS lo redirige a la dirección IP de un sitio envenenado que parece legítimo.

Cómo detectarlo:

  • Sitio no seguro:tenga cuidado con los sitios web que son HTTP, no HTTPS.
  • Irregularidades del sitio web: esté atento a las inconsistencias que puedan indicar un sitio falso, como colores no coincidentes, errores ortográficos o fuentes inusuales.

4. ‘Gemelos malvados’

Los ataques de phishing “gemelos malvados” utilizan un punto de acceso WiFi falso, disfrazándolo para que parezca genuino, que puede interceptar datos durante la transferencia. Cuando alguien usa el hotspot, los estafadores recopilan sus datos, como credenciales de inicio de sesión o información confidencial ingresada en un sitio web.

Cómo detectarlo:

  • “No seguro”: no confíe en ningún punto de acceso que active una advertencia de “no seguro” en su dispositivo.
  • Necesita iniciar sesión: cualquier punto de acceso que generalmente no requiera que inicie sesión pero de repente le pide que lo haga es sospechoso.

5. Phishing de Watering Hole

El enfoque Watering Hole es un sofisticado ataque de phishing que comienza cuando los estafadores investigan los sitios web que sus empleados visitan con frecuencia. Luego, infectan la dirección IP con descargas o códigos maliciosos. Cuando un empleado llega al sitio web, sin saberlo, descarga el código envenenado.

Cómo detectarlo:

  • Alertas del navegador:si un navegador web indica que es posible que un sitio no sea seguro, no acceda al sitio web, aunque sea familiar.
  • Supervise los cortafuegos: asegúrese de que las reglas del cortafuegos estén actualizadas y supervisadas para evitar el tráfico entrante de un sitio comprometido.

6. Phishing en buscadores

Este tipo de estafa en línea utiliza motores de búsqueda para dirigir a los usuarios a sitios que pretenden ofrecer productos o servicios de bajo precio. Luego, el usuario intenta comprarlo e ingresa la información de la tarjeta de crédito. El sistema de phishing lo captura y lo usa para vaciar la cuenta bancaria de la víctima.

Cómo detectarlo:

  • Ofertas demasiado buenas para ser verdad:desconfíe de los productos o servicios que se anuncian en línea y que son demasiado baratos.
  • Sitios web incompletos: tenga cuidado con los sitios web en los que ingresa sus datos. Sitios web incompletos: tenga cuidado con los sitios web en los que ingresa sus datos.

7. Manipulación de enlaces

El phisher envía al objetivo un enlace engañoso y malicioso a un sitio web de phishing. Si el objetivo se enamora y hace clic en el enlace, será redirigido a una copia de un sitio web genuino. Puede ver la dirección real colocando el mouse sobre el enlace.

Cómo detectarlo:

  • Enlaces sospechosos: no haga clic en enlaces de correos electrónicos sospechosos.
  • Verifique la dirección real: coloque el mouse sobre la URL para revelar el enlace real.

Defiende tu negocio con la capacitación en concientización sobre seguridad de ATTACK Simulator

El phishing ha ido en aumento desde hace un tiempo y se ha vuelto dolorosamente costoso, especialmente para organizaciones de todo tipo. La mala noticia es que los investigadores esperan que empeore aún más.

Entonces, ¿qué puede hacer para evitar incidentes tan desagradables? Bueno, los malos no duermen, así que tú tampoco deberías dormir en sus estrategias. Tenga en cuenta que, por lo general, buscan el eslabón más débil de la cadena: sus empleados. Por lo tanto, debe priorizar la educación sobre las prácticas de ciberseguridad relevantes para mantener a raya a los estafadores.

Investigar las últimas tendencias y estrategias de phishing y capacitar adecuadamente a sus empleados puede ser una molestia, así que déjelo a los profesionales.

Aquí, en ATTACK Simulator, nos ponemos en el lugar del atacante porque creemos que comprender sus pensamientos y acciones es vital para diseñar una simulación precisa.

Estas son algunas de las ventajas de nuestro enfoque de las simulaciones de phishing:

  • Simulación de ataques automatizada:simulamos todo tipo de ciberataques.
  • Escenarios de la vida real: evaluamos la vulnerabilidad de los usuarios para proporcionar datos personales o de la empresa mediante páginas web realistas.
  • Análisis del comportamiento del usuario: recopilamos datos del usuario y los compilamos en informes extensos para brindarle una imagen detallada del nivel de conciencia de seguridad de sus empleados.
  • Réplicas de archivos maliciosos:nuestros correos electrónicos contienen repilcas de archivos de malware, para que la simulación sea lo más realista posible.
  • Lecciones interactivas:si los empleados no reconocen nuestras trampas y caen en una, descubrirán lecciones sobre las mejores prácticas de seguridad.
  • Suplantación de identidad de marca: nos hacemos pasar por marcas populares para hacer que las simulaciones de suplantación de identidad sean aún más realistas.

Elija estar seguro y solicite su cotización para nuestro programa integral de capacitación en conciencia de seguridad hoy.

Atribución:

Ilustraciones online por Storyset

Ilustraciones de redes sociales de Storyset

Illustraciones web por Storyset

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.