Comienza con una pregunta diferente… ¿Qué es la ciberseguridad? Es algo que muchas pequeñas empresas necesitan preguntarse hoy. Y la respuesta debe incluir información sobre el phishing. Qué es, qué hacer al respecto y cómo puede afectar a tu empresa si no haces nada.
Los ataques de phishing están diseñados para engañarte para que proporciones información confidencial. Los ciberdelincuentes utilizan correos electrónicos de phishing para hacerse pasar por instituciones/entes creíbles. Quieren datos personales y robar información de tarjetas de crédito, o instalar malware en un ordenador. Un ataque dirigido puede incluir enlaces web maliciosos a páginas web falsas.
¿Qué es un ataque de phishing?
Este es un tipo de ciberataque diseñado para robar datos confidenciales. El phishing intenta engañar y/o manipular a los usuarios a través de sus ordenadores. Una campaña de phishing puede usar mensajes de correo electrónico para configurar ataques de red, malware e inyección de código para robar credenciales de inicio de sesión y otros datos personales.
Tipos de phishing
Los correos electrónicos de phishing son un problema común para las pequeñas empresas. Pero debes tener en cuenta otros tipos de ataques de phishing de los que puedes ser víctima.
- Phishing selectivo. Este tipo de correo electrónico de phishing está dirigido a una persona, empresa u organización específica. Está disfrazado de una fuente creíble pero lleva al usuario a una página web maliciosa. Los objetivos del phishing selectivo incluyen individuos o grupos.
- Suplantación de identidad por correo electrónico. Un correo electrónico de phishing es un ataque que intenta que las personas revelen cosas como información financiera. Ten cuidado con frases como «Estimado titular de la cuenta» y una solicitud de información personal. Los correos electrónicos de phishing como estos son genéricos.
- Vishing. Algunos mensajes de phishing no se escriben. Los mensajes de phishing toman diferentes formas, y vishing es la abreviatura de phishing de voz. Esto implica tratar de engañar a las personas por teléfono y hacer que den información personal. Estos mensajes les dicen a los usuarios objetivo que hay un problema con la cuenta bancaria o la tarjeta de crédito. Recuerda, llama a la entidad bancaria si crees que es una estafa.
- Whaling o Whale Phishing. Estos son como otros ataques, pero están diseñados para engañar a los usuarios de la C-suite. Un whaling tiene como objetivo a altos funcionarios. Es una especie de fraude de CEO en el que los delincuentes se hacen pasar por uno de ellos. Por lo general, implica una solicitud de una transacción financiera. La capacitación de los empleados sobre el contacto no solicitado es un aspecto importante de la educación sobre phishing aquí.
- Angler Phishing. Hay muchos tipos diferentes de ataques de phishing, y este se centra en las redes sociales. Una página web falsa y tweets y publicaciones maliciosos persuaden a los usuarios para que divulguen datos o descarguen enlaces a una página maliciosa. Cuidado con estas publicaciones falsas en las redes sociales.
- Smishing. Aquí los delincuentes usan mensajes de texto. El phishing por SMS puede tener un código de área inusual. Esa es una forma de detectar este tipo de contenido de phishing.
- Clone phishing. Este tipo de correo electrónico de phishing proviene de lo que parece un servicio que usas comúnmente. Los correos electrónicos sospechosos solicitarán información personal que el proveedor de servicios ya tiene.
- Water Hole Phishing. Los delincuentes investigan las páginas web que visitan tus empleados, como proveedores externos y noticias de la industria. Tu personal está descargando malware cuando visitan estas direcciones web falsas.
Cómo reconocer las estafas de phishing
Un ataque de phishing exitoso ocurre cuando no sabes qué buscar. Las siguientes son algunas formas en las que puedes detectar el phishing.
- Mala gramática y faltas de ortografía: las campañas de phishing no son efectivas cuando detectas estos errores. La mala ortografía puede ser legítima o puede ser una forma de eludir los filtros que evitan los ataques de phishing. Los errores gramaticales encabezan la lista de banderas rojas en los correos electrónicos y en las páginas web de phishing.
- Saludos genéricos: nunca proporciones números de cuenta online. Especialmente cuando tu banco no sabe tu nombre. Los saludos genéricos de las organizaciones con las que trabajas deberían alertarte. Un correo electrónico de «Estimado señor» podría ser un intento de instalar malware.
- Dominios de correo electrónico que no coinciden: las empresas de renombre utilizan sus propios dominios de correo electrónico. Los correos electrónicos de phishing tienen pequeños errores, como microsoft, o se envían desde un dominio genérico como Gmail. Los dominios de phishing son un método común que utilizan para que descargues malware. En general, puedes buscar URL maliciosas con errores ortográficos en el correo electrónico o el nombre de dominio.
¿Cómo funciona una estafa de phishing?
El phishing utiliza el correo electrónico y otras formas de comunicación. El criminal, por lo general, se hace pasar por una empresa legítima como un banco o un proveedor y trata de obtener acceso a información confidencial, como números de cuentas bancarias o contraseñas de administrador.
Las víctimas pueden ser engañadas para que hagan clic en un enlace a una página web de phishing, ya que las estafas varían. Algunos piratas informáticos utilizan perfiles de redes sociales falsos.
Los ataques básicos intentan engañar a las personas para que ingresen información confidencial o detalles personales. Los premios ganados en concursos falsos y los vales ganadores son técnicas comunes.
