Tipos de phishing

www.onlinetis.com

Tipos de phishing

1. Smishing

2. Vishing

3. QRishing

4. Pharming

5. Spear phishing

 

1. Smishing

Un ejemplo de smishing es un mensaje de texto que te llega supuestamente de tu banco, diciéndote que ha habido una actividad sospechosa en tu cuenta y que debes hacer clic en un enlace para verificar tu identidad.

¿Qué es el Smishing?

El smishing (una combinación de "SMS" y "phishing") es una forma de ciberdelincuencia donde los atacantes usan mensajes de texto para engañar a las personas y robarles información personal o financiera. El objetivo es que la víctima haga clic en un enlace malicioso, descargue un virus o responda con datos sensibles como contraseñas, números de tarjeta de crédito o información de la seguridad social.

A diferencia del phishing tradicional que usa correos electrónicos, el smishing aprovecha la confianza que la gente suele tener en los mensajes de texto, ya que solemos asociarlos con comunicaciones más directas y legítimas.

Ejemplos de Mensajes de Smishing

Aquí tienes algunos ejemplos comunes de mensajes de smishing para ayudarte a identificarlos:

  • Mensajes de Bancos o Entidades Financieras:

    • "Alerta de seguridad: su cuenta ha sido bloqueada debido a un intento de acceso no autorizado. Confirme sus datos aquí: [enlace falso]."

    • "Hemos detectado un pago sospechoso en su tarjeta. Para cancelarlo, haga clic en el siguiente enlace y complete la información."

  • Mensajes de Servicios de Entrega de Paquetes:

    • "El estado de su paquete ha sido actualizado. Se requiere un pago de 2.50€ para reprogramar la entrega. Pague aquí: [enlace malicioso]."

    • "Su paquete no pudo ser entregado. Por favor, confirme su dirección en el siguiente enlace para evitar la devolución."

  • Mensajes de Premios o Sorteos Falsos:

    • "¡Felicidades! Has sido seleccionado como el ganador de un iPhone 15. Para reclamar tu premio, introduce tus datos aquí: [enlace de phishing]."

    • "Hemos visto que has navegado por nuestro sitio web. Como agradecimiento, tienes un cupón de 200€. Recíbelo aquí: [enlace fraudulento]."

  • Mensajes de Empresas Tecnológicas:

    • "Estimado usuario de Netflix, su suscripción está a punto de caducar. Actualice su información de pago para evitar la interrupción del servicio: [enlace falso]."

    • "Su cuenta de Apple/Google ha sido comprometida. Verifique su identidad ahora para proteger sus datos: [enlace malicioso]."

Cómo Protegerte

Para evitar ser víctima de smishing, recuerda estas reglas básicas:

  1. No hagas clic en enlaces sospechosos: Si recibes un mensaje de un banco o de una empresa de paquetería, no uses el enlace que te envían. En su lugar, ve a la página web oficial de la empresa o usa la aplicación móvil para verificar cualquier alerta.

  2. Verifica el remitente: Aunque parezca un número legítimo, los estafadores pueden falsificar los números. Ten cuidado con los mensajes que vienen de números de teléfono que no reconoces.

  3. No compartas información personal: Las empresas legítimas nunca te pedirán datos sensibles como contraseñas o números de tarjeta de crédito a través de un mensaje de texto.

  4. Si tienes dudas, llama: Si un mensaje te genera desconfianza, llama directamente al número de atención al cliente de la empresa para confirmar si el mensaje es auténtico.

     

    2. Vishing

    ¿Qué es el Vishing?

    El vishing es una forma de fraude cibernético que combina las palabras "voz" y "phishing". Es un tipo de estafa en la que un atacante utiliza llamadas telefónicas para engañar a la víctima y obtener información confidencial, como datos bancarios, contraseñas, o números de seguridad social.

    A diferencia del phishing tradicional que usa correos electrónicos o mensajes de texto, el vishing se basa en la ingeniería social a través de una llamada telefónica. Los estafadores suelen hacerse pasar por representantes de bancos, empresas de tecnología, agencias gubernamentales, o incluso por la policía, para generar confianza y urgencia.

    Ejemplos de Vishing

    A continuación, te presento algunos de los ejemplos más comunes de estafas de vishing. Es crucial que sepas cómo funcionan para que puedas identificarlas y protegerte.

    1. Suplantación de identidad de un banco: El estafador llama y se hace pasar por un empleado de tu banco. Te dice que ha detectado una actividad sospechosa en tu cuenta, como un cargo no autorizado. Para "resolver el problema", te pide que confirmes tus datos de acceso, números de tarjeta de crédito, o el PIN de tu tarjeta. La urgencia del supuesto problema te presiona para que actúes rápido y no pienses con claridad.

    2. Llamada del "soporte técnico": Recibes una llamada de una supuesta empresa de tecnología, como Microsoft o Apple. Te informan que tu computadora tiene un virus o un problema de seguridad grave. El estafador te guía a través de pasos para "solucionarlo", lo que en realidad le permite instalar software malicioso en tu dispositivo para robar tu información, o te pide que le pagues por el "servicio".

    3. Estafas con premios y sorteos: Te llaman para felicitarte porque has ganado un premio, un viaje, o un sorteo. Para reclamar tu premio, te piden que pagues una "tasa de procesamiento" o que proporciones tus datos bancarios para depositar el dinero. Por supuesto, el premio no existe y solo buscan robarte tu dinero o tus datos.

    4. Amenazas de agencias gubernamentales: El estafador se hace pasar por un representante de una agencia gubernamental (como la policía, la hacienda pública o el departamento de inmigración). Te advierte que si no pagas una supuesta multa o impuesto atrasado de inmediato, serás arrestado o deportado. Estas amenazas te obligan a pagar usando tarjetas de regalo, transferencias bancarias o criptomonedas.

    5. Estafas con servicios de streaming: Recibes una llamada de una supuesta plataforma de streaming (como Netflix o Spotify) que te avisa que hay un problema con el pago de tu suscripción. Para "actualizar" tu información de pago, te piden que verifiques tus datos de tarjeta de crédito, lo que les da acceso a tu cuenta bancaria.

    Consejos para Protegerte del Vishing

    • Verifica la identidad del que te llama: Si recibes una llamada sospechosa, cuelga y llama directamente a la empresa o entidad desde un número oficial (nunca desde un número que te den en la llamada).

    • Nunca compartas información confidencial: Ningún banco, agencia gubernamental o empresa legítima te pedirá tu contraseña, PIN o número de tarjeta completo por teléfono.

    • Sospecha de la urgencia: Los estafadores usan la urgencia para que no pienses con claridad. Si te presionan para que actúes de inmediato, es una señal de alerta.

    • No confíes en el identificador de llamadas: Los estafadores pueden falsificar los números de teléfono para que parezca que la llamada viene de una fuente legítima. Esto se conoce como "spoofing".

    • Bloquea números sospechosos: Si recibes una llamada de vishing, bloquéala y considera reportarla a las autoridades.

       

      3. QRishing

      El QRishing es una forma de ciberataque que combina los códigos QR con el phishing, la técnica de suplantación de identidad para robar datos o dinero. Los ciberdelincuentes manipulan códigos QR para dirigir a las víctimas a sitios web fraudulentos o para que descarguen malware en sus dispositivos.

      Aquí tienes algunos ejemplos comunes de QRishing para que sepas cómo funciona:

      1. Pagos y multas falsas

      Este es uno de los escenarios más frecuentes. Los atacantes colocan códigos QR fraudulentos en lugares públicos como:

      • Parquímetros: Pegan una pegatina con un código QR falso sobre el código original, prometiendo una forma "más fácil" de pagar el estacionamiento. Al escanearlo, te llevan a una página falsa que imita a la del servicio de pago y te piden los datos de tu tarjeta de crédito, que luego roban.

      • Multas de tráfico: Recibes una supuesta multa en tu parabrisas con un código QR para que la pagues rápidamente a través de una página web. Esta página es una copia de la oficial y, al introducir tus datos, se los envías directamente a los estafadores.

      2. Menús de restaurantes y negocios

      Con el auge de los menús digitales, los atacantes han encontrado una nueva oportunidad. Colocan códigos QR falsos en las mesas de restaurantes o bares. Al escanearlos, el código te puede llevar a una página para descargar una aplicación que supuestamente es el menú, pero en realidad instala malware en tu teléfono para robar información.

      3. Falsas notificaciones y correspondencia

      Los ciberdelincuentes envían correos electrónicos o mensajes de texto (SMS) que parecen ser de una empresa legítima (como un banco, una empresa de paquetería o una tienda en línea) con un código QR adjunto.

      • Paquetería: Recibes un mensaje sobre un paquete que supuestamente no se pudo entregar y te piden que escanees un QR para reprogramar la entrega. El código te lleva a una página para robar tus datos de acceso o información personal.

      • Bancos: Te avisan de un supuesto problema con tu cuenta y te piden escanear el QR para "verificar tu identidad". Al hacerlo, te dirigen a una página de phishing que imita la del banco, donde roban tus credenciales.

      4. Estaciones de carga eléctrica

      Con la creciente popularidad de los vehículos eléctricos, las estaciones de carga se han convertido en un nuevo objetivo. Los estafadores colocan códigos QR falsos en estos puntos para ofrecer supuestos descuentos o un pago más rápido, pero en realidad, buscan robar la información bancaria de los usuarios.

      Cómo protegerte

      Para evitar ser víctima de QRishing, ten en cuenta estas medidas de seguridad:

      • Revisa el código y su entorno: Antes de escanear, busca señales de manipulación, como una pegatina sobrepuesta, o si el código se ve de baja calidad o borroso. Si está en un lugar público, desconfía.

      • Inspecciona la URL: Después de escanear, antes de hacer clic o introducir datos, verifica la dirección web. Busca errores de ortografía o dominios extraños. Las páginas legítimas suelen empezar con https://.

      • Accede por tu cuenta: Si un código QR de un negocio te genera dudas, no lo escanees. En su lugar, busca la página web oficial del negocio directamente en tu navegador y accede desde allí.

      • Desconfía de las ofertas "demasiado buenas": Las ofertas o descuentos excesivos que se anuncian a través de un QR suelen ser una trampa.

      • Utiliza herramientas de seguridad: Algunos navegadores y aplicaciones de escaneo de QR tienen funciones de seguridad que alertan si el enlace al que te dirige el código es malicioso.

       

      4. Pharming

      El pharming es un tipo de ciberataque más sofisticado que el phishing, ya que no se basa en engaños para que el usuario haga clic en un enlace. En su lugar, el atacante manipula la forma en que los usuarios acceden a sitios web legítimos, redirigiéndolos a una página falsa sin que se den cuenta.

      Existen dos tipos principales de pharming:

      • Envenenamiento de DNS (Sistema de Nombres de Dominio): Este es el tipo más peligroso y difícil de detectar. El atacante ataca directamente un servidor DNS (el "directorio telefónico" de internet que traduce los nombres de los sitios web a sus direcciones IP). Al corromper la tabla DNS, el atacante puede redirigir a un gran número de usuarios a un sitio web fraudulento, incluso si escriben la dirección web correcta.

      • Pharming basado en malware: En este caso, el atacante infecta el dispositivo de una víctima con un virus o troyano. Este malware modifica el archivo de hosts del ordenador, un archivo que asocia las direcciones web con las direcciones IP. Así, cuando el usuario intenta acceder a una página web legítima, el archivo de hosts manipulado lo redirige a la página falsa del atacante.

      Ejemplos de Pharming en la vida real

      Aquí tienes algunos ejemplos que ilustran cómo funciona un ataque de pharming:

      • Ataque a un banco en México (2008): Se reportó un ataque de pharming donde los cibercriminales explotaron una vulnerabilidad en los routers de los usuarios. Al comprometer la configuración DNS del router, los atacantes pudieron redirigir a los clientes de un banco mexicano a una página web falsa, robando sus credenciales de acceso y otra información personal.

      • Ataque a sitios bancarios en Brasil (2015): Los atacantes comprometieron los routers de usuarios domésticos en Brasil para redirigirlos a versiones falsas de sitios web bancarios muy conocidos. Este ataque afectó a un gran número de víctimas que, sin saberlo, entregaron sus credenciales bancarias a los atacantes.

      ¿Cómo identificar y protegerse?

      Aunque el pharming es difícil de detectar, hay algunas señales y medidas de precaución que puedes tomar:

      • Verifica la URL: Aunque la página web se vea idéntica, la URL puede tener pequeñas diferencias, como errores de ortografía o caracteres extraños. Por ejemplo, en lugar de "www.banco.com", podrías ver "www.banc0.com" o "www.tubancodeconfianza.net".

      • Busca el candado HTTPS: Asegúrate de que la dirección web comience con "https://" y que tenga el ícono de un candado. Esto indica que la conexión es segura. Aunque un atacante puede falsificar esto, es una buena primera señal.

      • Mantén tus dispositivos y software actualizados: Utiliza un buen software antivirus y antimalware para protegerte contra los virus que manipulan el archivo de hosts. Asegúrate de que tu sistema operativo y tu navegador estén siempre actualizados.

      • Ten cuidado con las redes Wi-Fi públicas: Evita realizar transacciones bancarias o acceder a información sensible en redes Wi-Fi públicas, ya que pueden ser menos seguras y más vulnerables a este tipo de ataques.

       

      5. Spear phishing

      El spear phishing es un tipo de ataque de ciberseguridad altamente dirigido y personalizado que busca engañar a individuos u organizaciones específicas para que revelen información confidencial o realicen acciones perjudiciales, como transferir dinero. A diferencia del phishing masivo, que utiliza mensajes genéricos, el spear phishing se basa en una investigación previa del objetivo para crear un mensaje que parece legítimo, convincente y urgente.

      A continuación, se presentan ejemplos comunes de spear phishing:

      1. El Fraude del CEO (Whaling) 🐳

      Este es un ejemplo de spear phishing de alto nivel, también conocido como whaling (en inglés, "caza de ballenas"), ya que se dirige a altos ejecutivos. En este escenario, el atacante se hace pasar por el director ejecutivo (CEO) o un alto cargo de la empresa para ordenar a un empleado del departamento financiero que realice una transferencia de dinero urgente a una cuenta bancaria fraudulenta.

      • Ejemplo: Un empleado de finanzas recibe un correo electrónico del "CEO" con un asunto como: "Transferencia urgente para adquisición de emergencia". El mensaje, escrito de forma convincente y con detalles específicos de la empresa, le pide que transfiera una gran suma de dinero a un nuevo proveedor, justificando la urgencia para evitar la pérdida de un trato importante. El empleado, bajo presión, realiza la transferencia sin verificarla por un canal alternativo.

      2. Suplantación de identidad del departamento de TI 💻

      Los atacantes pueden hacerse pasar por personal del departamento de Tecnologías de la Información (TI) de una empresa para robar credenciales. Aprovechan que los empleados suelen confiar en las comunicaciones internas de este departamento.

      • Ejemplo: Un empleado recibe un correo de un supuesto "soporte técnico" o "departamento de TI" que menciona su nombre y cargo. El mensaje le informa que hay un problema de seguridad urgente con su cuenta y le pide que haga clic en un enlace para "verificar" sus credenciales. El enlace lleva a una página web falsa que imita la del portal de inicio de sesión de la empresa, donde el empleado introduce su nombre de usuario y contraseña, que son capturados por el atacante.

      3. Solicitudes de información de proveedores o socios 🤝

      Los ciberdelincuentes pueden investigar las relaciones comerciales de una empresa y hacerse pasar por uno de sus socios o proveedores.

      • Ejemplo: Un empleado del departamento de compras recibe un correo del "proveedor habitual", pidiéndole que actualice los datos bancarios para futuros pagos debido a un "cambio administrativo". El correo incluye el nombre real del contacto del proveedor, una dirección de correo electrónico ligeramente alterada y la plantilla corporativa del proveedor. El empleado actualiza los datos, y los pagos de la empresa a ese proveedor son desviados a la cuenta del atacante.

      4. Ataques basados en eventos o situaciones personales 🎯

      Estos ataques se aprovechan de información personal obtenida de redes sociales u otras fuentes públicas. El atacante usa esta información para crear un mensaje que genere una respuesta emocional o de confianza en la víctima.

      • Ejemplo: Un empleado de una empresa de desarrollo de software que acaba de recibir una promoción y ha publicado la noticia en redes sociales recibe un correo de un supuesto colega felicitándolo por el ascenso. El mensaje contiene un documento adjunto llamado "Plan de capacitación para nuevos líderes" que en realidad es un malware. La víctima, entusiasmada por la promoción, abre el archivo sin sospechar nada.

       

Location: España

Entradas populares de este blog

Ciberseguridad y hacking con Whatweb

Imagen
www.onlinetis.com WhatWeb es una herramienta de código abierto para realizar fingerprinting o huella digital de sitios web . Su principal función es identificar las tecnologías, aplicaciones, servidores y otras configuraciones que se utilizan en una página web. Es muy popular en el ámbito de la ciberseguridad, especialmente en la fase de reconocimiento de una auditoría de seguridad o un test de penetración. ¿Cómo funciona WhatWeb? WhatWeb opera analizando una página web en busca de "firmas" o patrones que revelan la tecnología subyacente. En lugar de ser un escáner de vulnerabilidades completo, se centra en la recopilación de información. Para ello, examina diversos elementos del sitio web, incluyendo: Encabezados HTTP : Analiza las respuestas del servidor para identificar el tipo de servidor web (como Apache o Nginx), el lenguaje de programación (PHP, ASP.NET), o la versión. Código HTML y JavaScript : Busca cadenas de texto, nombres de archivos, comentarios o scripts especí...
LEER MAS »

Como robar contraseñas haciendo un phishing web

Imagen
  www.onlinetis.com Evilginx es una herramienta de phishing de tipo man-in-the-middle (MitM) diseñada para interceptar y robar credenciales de usuario, incluyendo las de sitios web que utilizan autenticación de doble factor (2FA). Su principal objetivo es engañar a las víctimas para que introduzcan sus credenciales en un sitio web falso que parece legítimo. ¿Cómo funciona Evilginx? Evilginx actúa como un proxy inverso. Esto significa que se coloca entre la víctima y el sitio web real que la víctima intenta visitar. Aquí te explicamos los pasos clave de su funcionamiento: Atracción de la víctima : El atacante envía un enlace a la víctima que la dirige al sitio de phishing, el cual está alojado en el servidor donde se ejecuta Evilginx. El dominio de este sitio suele ser muy similar al del sitio web real para no levantar sospechas. Proxy inverso : Cuando la víctima accede al sitio de phishing, Evilginx no solo le presenta una copia idéntica del sitio web real, sino que también red...
LEER MAS »

Arsenal software hacking NFC

Imagen
  www.onlinetis.com Arsenal software hacking NFC Kali Linux incluye varias herramientas especializadas para la auditoría y "hacking" de redes y dispositivos NFC. Estas herramientas están diseñadas para interactuar con las etiquetas y tarjetas NFC para realizar análisis de seguridad, como leer, escribir o clonar datos. Herramientas principales libnfc : Es la biblioteca fundamental que proporciona las funciones básicas para interactuar con dispositivos NFC. Es la base para muchas otras herramientas. Permite listar, leer y escribir en tags NFC. Los comandos más comunes son: nfc-list : Lista los dispositivos y tarjetas NFC conectados. nfc-mfclassic : Utilidad para leer y escribir en tarjetas MIFARE Classic , que son comunes en sistemas de transporte y control de acceso. nfc-mfultralight : Similar al anterior, pero para tarjetas MIFARE Ultralight . mfoc (Mifare Offline Cracker) : Esta es una herramienta crucial para el "hacking" de tarjetas MIFARE Classic. Explota una vu...
LEER MAS »