Spear Phishing... como el phishing pero un poco más directo
Todos hemos oído hablar del término phishing y de cómo funciona, cuando se envía un correo electrónico genérico con una URL o un archivo adjunto encriptado y cuando se hace clic "BOOM"... te han pillado. Pero, lo que estamos viendo ahora es un aumento del spear phishing.
El spear phishing es técnicamente lo mismo pero con un enfoque más directo y dirigido. Los piratas informáticos dedican tiempo a investigar la vida, los intereses y el puesto de trabajo de una persona o de un pequeño grupo de personas y crean un correo electrónico que parece legítimo e interesante, lo suficientemente interesante como para hacer clic. Y si esa persona hace clic y activa el malware, éste puede propagarse y causar efectos perjudiciales en la empresa
.
La Oficina Federal de Investigación llevó a cabo una investigación detallada sobre el spear phishing e informó de que la mayor parte del spear phishing se dirige a empresas que utilizan "transferencias electrónicas como método habitual de transferencia de fondos con fines comerciales". Esto también se conoce como la estafa BEC, que se define como una "...estafa sofisticada dirigida a empresas que trabajan con proveedores extranjeros y/o empresas que realizan regularmente pagos por transferencia bancaria. La estafa se lleva a cabo comprometiendo cuentas de correo electrónico de empresas legítimas a través de técnicas de ingeniería social o de intrusión informática
para realizar transferencias de fondos no autorizadas."
- Pérdidas combinadas en dólares expuestas = 3.086.250.090 dólares.
- Desde enero de 2015, se ha producido un aumento del 1.300% en las pérdidas expuestas identificadas
- Las transferencias fraudulentas se han enviado a 79 países, la mayoría de ellas a bancos asiáticos
situados en China y Hong Kong.
- Las víctimas nacionales e internacionales ascienden a 22.143
He aquí un rápido vistazo a la forma en que los "pescadores" apuntan y capturan
Facebook- Tus actualizaciones pueden revelar mucho sobre ti como persona. Tus hábitos de consumo, el nombre de tu perro, una foto de tus recientes vacaciones en Grecia o la compra de tu precioso coche nuevo. Los phishers pueden crear un correo electrónico creíble pidiéndote que revises tus recientes vacaciones o que compres comida para perros con descuento que lleve el nombre de tu perro, lo que incluiría un enlace lleno de malware. No estamos diciendo que no debas actualizar nada nunca más, pero sé precavido y piensa antes de publicar o hacer clic.
Twitter- Tu Twitter está lleno de hashtags, #hermana #amiga #familia... y normalmente conectados con estos hay etiquetas de nombres de personas, ubicaciones e incluso imágenes. Esto facilita a los phishers la creación de un personaje "oculto". Si recibieras un correo electrónico con el nombre de tu hermana, automáticamente pensarías que está bien y nunca pensarías que es un correo de phishing, pero desgraciadamente, a veces lo son.
LinkedIn- Tienes tu imagen, el título de tu negocio, el nombre de la empresa, todos los empleados conectados y todo lo que te interesa es visible. Los phishers pueden usar esto en tu contra y para
manipularte. ¿No es un pensamiento aterrador? Todo lo que haces en línea y con lo que interactúas es básicamente bloques de construcción para tu propio ataque de spear phishing.
Si los juntas, serás el objetivo principal de un escándalo de spear phishing, que si se hace clic podría enviarse a tus colegas, lo que luego se convierte en un efecto de bola de nieve. Tenga cuidado y no inicie la bola de nieve
.
Spear phishing - Cómo evitar y reducir las posibilidades de ser víctima
1- Ten cuidado - Ahora que todos tus datos están en línea, tu información puede ser obtenida y utilizada muy fácilmente. No des demasiado, y nunca publiques datos personales como la dirección, el número de teléfono o los datos bancarios. No obstante, disfruta, publica fotos divertidas, cuenta a tus amigos que has pasado el mejor día en la playa con tu familia, incluso dile a todo el mundo que has comido un burrito... pero ten cuidado. Si recibes un correo electrónico sobre un "burrito gratis" de tu comida para llevar favorita junto al mar, probablemente no sea una coincidencia.
Esté atento y permanezca vigilante.
2- Comprueba los enlaces - Los correos electrónicos de spear phishing suelen contener enlaces que te piden que hagas clic para cambiar una contraseña, verificar datos o registrarte en algo nuevo y exclusivo. Pero antes de hacer clic, lo mejor es comprobar la URL pasando el ratón por encima del enlace. Si se trata de una estafa de phishing, puedes apostar que la URL será algo completamente irrelevante para el correo electrónico y, a veces, irá seguida de una línea de números y dígitos aleatorios.
3- Usa la lógica - ¿Por qué querría tu compañero de trabajo conocer tus datos bancarios? ¿Por qué su jefe le enviaría un enlace para ver su factura telefónica? Lo más probable es que no lo hagan, así que si tienes alguna duda, ponte en contacto con esa persona directamente y verifica si ha enviado el correo electrónico. Y si recibes un correo electrónico de phishing, elimínalo inmediatamente. Más vale prevenir que lamentar.
¿Ha recibido alguna vez un correo electrónico de phishing selectivo? ¿Crees que podrías detectar uno? Háganoslo saber en los comentarios.