El método por el cual se adquiere información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito por motivos maliciosos, se conoce como phishing. Los ciberdelincuentes se camuflan como una entidad confiable. Utilizan medios de comunicación electrónica para robar información como mensajes de correo electrónico de phishing, sitios web, etc. Utilizan ingeniería social para convencerlo de que instale software malicioso o entregue su información personal con falsas pretensiones.
Tipos de ataques de phishing
· Phishing engañoso: el método de transmisión más común hoy en día es un mensaje de correo electrónico engañoso. Los mensajes sobre la necesidad de verificar la información de la cuenta, la falla del sistema que requiere que los usuarios vuelvan a ingresar su información, los cargos ficticios de la cuenta, los cambios indeseables de la cuenta, los nuevos servicios gratuitos que requieren una acción rápida y muchas otras estafas se transmiten a un amplio grupo de destinatarios con la esperanza que los incautos responderán haciendo clic en un enlace o iniciando sesión en un sitio falso donde se puede recopilar su información confidencial.
- ¿Cómo puede usar Shell = True causar una fuga de seguridad?
- ¿Puedo conseguir un trabajo en Google con una maestría en seguridad cibernética?
- ¿Cuál es el mejor enfoque para la prueba de lápiz de caja negra?
- ¿Cuáles son algunos hacks favoritos de Disneyland?
- ¿Hay juegos como corewars que usen un modelo de memoria y CPU más avanzado / realista?
· Phishing basado en malware: se refiere a estafas que implican la ejecución de software malicioso en las PC de los usuarios. El malware puede introducirse como un archivo adjunto de correo electrónico, como un archivo descargable desde un sitio web o explotando vulnerabilidades de seguridad conocidas.
· Keyloggers y Screenloggers: son variedades de malware que rastrean la entrada del teclado y envían información relevante al hacker a través de Internet.
· Secuestro de sesión: es un ataque donde se monitorean las actividades de los usuarios hasta que inician sesión en una cuenta o transacción objetivo y establecen sus credenciales de buena fe. En ese momento, el software malicioso se hace cargo y puede emprender acciones no autorizadas, como la transferencia de fondos, sin el conocimiento del usuario.
· Troyanos web: aparecen de forma invisible cuando los usuarios intentan iniciar sesión. Recopilan las credenciales del usuario localmente y las transmiten al phisher.
· Reconfiguración del sistema: los ataques modifican la configuración en la PC de un usuario con fines maliciosos.
· Robo de datos: los ladrones obtienen ganancias vendiendo comunicaciones confidenciales, documentos de diseño, opiniones legales, registros relacionados con los empleados, etc., a competidores o aquellos que desean causar daños económicos.
· Phishing basado en DNS (“Pharming”): es el término dado a la modificación de archivos de host o phishing basado en el Sistema de nombres de dominio (DNS). Los piratas informáticos manipulan los archivos de host de una empresa o el sistema de nombres de dominio para que las solicitudes de URL o servicio de nombres devuelvan una dirección falsa y las comunicaciones posteriores se dirijan a un sitio falso.
· Phishing por inyección de contenido: describe la situación en la que los piratas informáticos reemplazan parte del contenido de un sitio legítimo con contenido falso diseñado para engañar o desviar al usuario para que entregue su información confidencial al pirata informático.
· Phishing Man-in-the-Middle: en estos ataques, los hackers se posicionan entre el usuario y el sitio web o sistema legítimo. Registran la información que se ingresa pero continúan transmitiéndola para que las transacciones de los usuarios no se vean afectadas.
· Phishing en los motores de búsqueda: ocurre cuando los phishers crean sitios web con ofertas atractivas y los indexan legítimamente con los motores de búsqueda. Los usuarios encuentran los sitios en el curso normal de búsqueda de productos o servicios y se les engaña para que den su información.
Cómo lidiar con estafas de phishing
· Eliminar correos electrónicos y mensajes de texto que le piden que confirme o proporcione información personal. Las compañías legítimas no solicitan esta información por correo electrónico o mensaje de texto.
· Puede parecer que los mensajes provienen de organizaciones con las que hace negocios, ya que pueden amenazar con cerrar su cuenta o tomar otras medidas si no responde. No responda y no haga clic en los enlaces ni llame a los números de teléfono provistos en el mensaje. Estos mensajes lo dirigen a sitios falsos que parecen reales pero cuyo propósito es robar su información para que un estafador pueda acumular facturas o cometer delitos en su nombre.
· Use software de seguridad confiable y configúrelo para que se actualice automáticamente.
· No envíe por correo electrónico información personal o financiera. El correo electrónico no es un método seguro para transmitir información personal.
· Revise los extractos de la tarjeta de crédito y de la cuenta bancaria tan pronto como los reciba para verificar los cargos no autorizados.
· Tenga cuidado al abrir archivos adjuntos y descargar archivos de correos electrónicos. Estos archivos pueden contener virus u otro malware que puede debilitar la seguridad de su computadora.
· Informar correos electrónicos de phishing
