DEMASIADO BUENO PARA SER VERDAD
¿Te han llegado invitaciones o “promociones” en las que te ofrecen acceder a servicios de streaming de películas o música gratis? Seguramente. Aunque no lo creas, esta sigue siendo una modalidad efectiva de captación de datos personales y empresariales.
Ahora bien, imagina que ese es tan solo un intento al azar de los ciberdelincuentes. La ingeniería social va un paso más allá y genera acciones segmentadas y orientadas a la captación de los datos de determinada persona a través de:
- Puntos de acceso wifi
- Llamadas telefónicas
- Mensajería instantánea y SMS
- Memorias externas USB
EL PHISHING
Es la modalidad más efectiva de ataques de ingeniería social. Se trata del robo de datos, credenciales y contraseñas por medio de correos electrónicos maliciosos en los que suplantado marcas, personas e incluso perfiles laborales, con un clic de la víctima pueden generar la instalación de malware, la congelación del sistema como parte de un ataque de ransomware o el robo de información confidencial.
“El 91% de los ciberataques comienzan con un correo electrónico de spear phishing”
CIBERDELINCUENCIA COMO SERVICIO
Se trata de un negocio tan rentable, que actualmente existe tono un entorno criminal dedicado a crear y proveer ataques de phishing, usando botnets globales para evitar el uso de rangos IP sospechosos, al mejor estilo de las más sofisticadas estrategias de marketing. En muchos casos con mejores resultados.
Es así como estamos comenzando a ver estafas BEC (Business Email compromise), un nuevo y peligroso subconjunto de ataques de phishing que permite a los atacantes ampliar sus beneficios dirigiéndolos contra objetivos corporativos de alto valor.
NIVEL DE SEGUIMIENTO (CLICS) DE CORREOS DE PHISHING
ingenieria-social
*Fuente: Verizon 2016 DBIR & Experian Email Benchmark Report Q4 2016
Indicios a los que hay que estar atentos para descubrir posibles intentos de pishing, toma nota:
SALUDOS GENÉRICOS
Los correos electrónicos de phishing frecuentemente utilizan formulaciones genéricas como «Estimado cliente». Este uso de saludos impersonales les ahorra tiempo a los cibercriminales.
CORREOS INESPERADOS CON INFORMACIÓN ESPECÍFICA
Información como tu puesto, empleo anterior o intereses personales pueden obtenerse en redes sociales como LinkedIn y se usa para hacer más convincente los correos electrónicos de phishing.
«VERIFICA TU CUENTA»
Estos mensajes falsifican correos electrónicos reales pidiéndote que verifiques tu cuenta. Busca siempre señales de phishing y cuestiona por qué se te pide que verifique algo, probablemente se trata de una estafa.