Diferentes tipos de Phishing – Correo Fraudulento

Como todos sabemos, en la medida que la tecnología avanza y se masifica, aparecen nuevas técnicas que son utilizadas por los hackers para recopilar información que les sea útil al momento de, sobre todo, conseguir alguna retribución económica. Así, actualmente hablamos de un concepto denominado Phishing, que puede ser definido como un modelo de abuso informático que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta y a través de sistema de mensajería electrónica. Es decir, un estafador (conocido como Phisher) se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial con el usuario, un correo electrónico o algún sistema de mensajería instantánea.

Hace unos años, un correo electrónico infectado utilizaba trucos simples, como por ejemplo, incorporaba al correo un enlace que llevaba al lector a una dirección diferente de la que se especificaba en su texto o una URL con errores tipográficos que lo diferenciaba del link original sólo por un carácter o un par de caracteres transpuestos.

Actualmente, los hackers o phisher han mejorado sus técnicas para distribuir malwares o virus y ocultar sus ataques mediante una amplia variedad de herramientas para robar datos personales y claves de accesos. En algunas oportunidades eligen un sitio, compran certificados falsos para crear el sitio (https), copian las imágenes, el diseño y distribución de la página del sitio “real”, haciendo difícil que el usuario se dé cuenta de estos trucos a simple vista, logrando que las víctimas hagan clic en enlaces de mensajes sin pensar. A continuación, te indicamos las técnicas más comunes.

Whaling
Un tipo de phishing más focalizado es el denominado whaling o suplantación, que tiene como objetivo enviar un mensaje para hacerse pasar por autoridad, jefe o ejecutivo importante de una institución. El mensaje pareciera ser que proviene de dicha persona, creando un contenido o historia muy realista, pero en realidad es sólo una dirección falsa o una dirección que contiene una parte del nombre de esta persona. Por lo general, un ataque de este tipo busca dinero, por ejemplo, pide a la víctima que transfiera fondos de la institución a la cuenta del estafador.

Spear phishing
Otro método es el spear phishing, donde una persona, hacker, phisher o estafador persigue a una persona en particular, organización o puesto muy específico dentro de una institución o empresa. El estafador incluye en el correo el nombre, la posición, la institución, el número de teléfono del trabajo y otra información del objetivo, en un intento de engañar al destinatario haciéndole creer que lo conoce o que tiene una relación existente con éste. Generalmente el objetivo del hacker es buscar datos confidenciales que puedan utilizar para explotar o vender en el mercado negro.

Pharming
El Pharming, es otro método, donde el tráfico de navegación, enlazado o no desde un correo recibido, se redirige para que el usuario piense que está navegando en el sitio deseado, pero en realidad está conectado al sitio web del hacker. Se utiliza para conseguir credenciales o para obtener información y así apropiarse de la identidad de alguien.

Una forma de identificarlo es, leer la URL antes de hacer clic en el enlace o bien instalar en el computador un antivirus actualizado que detecte y elimine el malware que está redirigiendo su navegación o que permita chequear los enlaces fraudulentos y generar una alarma antes de cargar el sitio.

Smishing
Otro método es el smishing, que es una combinación de técnicas de ingeniería social que se envían a través de mensajes de texto SMS en lugar de utilizar el correo electrónico. Los estafadores intentan hacerle creer que son de confianza, como contacto de su banco, por ejemplo, para que luego les dé la información de su cuenta. En casos recientes, un estafador lo lleva a usar la autenticación paso a paso de su banco para enviarle un texto real con una consulta de autentificación, la cual, el phisher utiliza para poner en peligro su cuenta. 

Una variación de este último método es el whishing, donde se utiliza WhatsApp como un medio de phishing, mediante el envío de mensajes rápidos para ofrecer promociones con origen de marcas conocidas. 
¿Cómo resguardarse?
Debido a que cada vez hay más especialización en el mundo del phishing y más combinaciones de estos métodos u otros, que motivan a los atacantes o estafadores a obtener dinero de sus víctimas, la Dirección de Tecnologías de Información le entrega algunas buenas prácticas para evitar caer en algún ataque de este tipo:

1. Informe a la Mesa de Ayuda sobre el correo sospechoso recibido a mesadeayuda@uach.cl para que tome las medidas internas establecidas.
2. Verifique la cuenta de origen, si el nombre o la dirección del destinatario es sospechosa, no conteste, o verifique llamando al remitente.
3. Compruebe la URL o enlace enviado en el correo, la mejor forma es pasando el mouse por encima del texto del enlace o hipertexto, sin hacer clic, para ver la URL y verificar que está relacionada con la empresa que manda el email.
4. Revise faltas ortográficas, saludos estándar o no personalizado y firma sin datos de contacto de la empresa que lo contacta. Esto es habitual en correos de estafadores. 
5. Sospeche cuando el correo es una amenaza. Una táctica común de phishing es intentar poner nervioso al destinatario, ejemplo mensajes como “si no contesta este correo bloquearemos su cuenta” o “Han intentado acceder a su perfil personal”, y también se debe sospechar cuando el correo es una oferta comercial u oferta de empleo atractiva donde le piden actualizar sus datos o Curriculum.
6. No haga clic en archivos adjuntos sospechosos o que no ha solicitado.
7. No conteste correos relacionados a actualización o solicitud de claves de acceso. Nadie pedirá su contraseña de acceso por correo.  
8. Si algo le parece sospechoso o raro, contacte a la empresa que supuestamente envía el email para consultar y verificar lo que le solicitan.
9. Si le llegan correos de su mismo remitente que no ha enviado, cambie su clave de acceso inmediatamente.
10. Para más información, como ejemplo, le sugerimos ver ir el siguiente video sobre Uso de phishing para robar credenciales universitarias (Ver más…)

Fuente: IMCE Paraguay