ALFA+

Los tipos de Phishing y su funcionamiento



Managua, 02 de Abril 2019


PHISHING” es un término que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social.

Se trata de una técnica de hacking que consiste en suplantar una identidad para conseguir un objetivo a través del engaño a una víctima. Habitualmente está acompañada de una metodología que consiste en crear un scam (copia) de una página web, para que un usuario introduzca sus datos que obtendrá posteriormente el atacante. Engañando al posible estafado, suplantando la imagen de una empresa o entidad pública, de esta manera hacen “creer” a la posible víctima que realmente los datos solicitados proceden del sitio “Oficial” cuando en realidad no lo es.

Cabe señalar que esta estrategia es muy usada por los ciber-delincuentes debido a su sencillez, pues consiste en suplantar una página web; copiando normalmente el panel de login donde la víctima deposita toda su confianza, y a través de ella, las contraseñas y nombres de usuario son enviados directamente al atacante.

¿Cómo funciona el phishing?

Todo phishing conlleva un falso aviso (generalmente vía e-mail) ya sea de entidades bancarias, tarjetas de crédito, proveedores/vendedores, o sistemas de pago digital (núcleo objetivo del phishing). Normalmente la estafa informática consiste en solicitar al usuario actualizar con urgencia sus datos confidenciales o relevantes bajo pretextos de que corren peligro o se han perdido, problemas del sistema, o anuncios de bloqueo de la cuenta; pero que en definitiva, induzcan a que la víctima introduzca información confidencial.

El uso de la ingeniería social para “convencer” a la víctima es indispensable en este área, y no pocas veces, el mensaje engañoso consiste (irónicamente) inducir a que se haga clic en un link e ingrese el nombre de usuario y contraseña para “protegerse del phishing”.

En muchos ejemplos de phishing observamos como se sitúa a la víctima en un contexto de tensión o peligro (“Sus credenciales han sido robadas y debe restablecerlas”, por ejemplo) con el fin de que actúe erróneamente.

Los expertos en seguridad suelen indicar que la duración promedio de un sitio de phishing es de cinco días, tiempo en que los filtros anti-phishing detectan el sitio malicioso, y los ciber-delincuentes que emplean esta técnica deben registrar nuevos dominios para continuar con sus fines.

Sin embargo, aunque hay que tener en cuenta la apreciación temporal, esta no es una regla que se cumpla siempre: hay sitios web de phishing que se mantienen años.

Por otra parte, hay que señalar que dependiendo de la “calidad” de los mensajes de phishing enviados por e-mail o la web copiada del sitio falso, va a depender la probabilidad de éxito del ataque.

Recordemos que las URL adjuntas al mail-estafa están pensadas para aparentar que provienen de una fuente legítima (a la que será redirigido el usuario), por lo que contienen pequeñas modificaciones si la comparamos con el sitio auténtico y que al usuario descuidado o menos experimentado le puede pasar inadvertida.

Ilustremos con un ejemplo:

web original: www.bancooficial.com

web copia: www.banco-oficial.com

El empleo de guiones puede inducir al user a no sospechar del engaño. El mismo comentario para el uso de / o cambio de una letra.

Las imágenes a continuación son una buena muestra de ejemplo del comentario precedente:


Hay que añadir que la sustracción de datos bancarios, aunque sea lo más común en el phishing, no es el único objetivo de éste. Puede conducir también a sitios que descargan spyware, keyloggers o troyanos, cuando no la tan actual amenaza de ransomware.

Tipos de phishing

Si bien venimos relatando del phishing clásico, es oportuno mencionar otras variantes de este tipo de estafa.

Phishing redirector

Esta clase de phishing tiene una variante respecto al tradicional, no solo en los niveles de complejidad sino que como indican en WeLive Security.

“…esta técnica es utilizada en campañas masivas, por lo tanto utiliza por lo menos dos o más sitios o dominios para perpetuar la estafa.”

Se caracteriza por:

“el uso de acortadores de URLs, inyección de iframes y la explotación de técnicas ligadas a los marcos en el código HTML.”

El común denominador de estas técnicas distintas, es el empleo de “una redirección para reflejar un sitio almacenado en determinado servidor desde otro servidor. Este será visible solo bajo un estudio del código fuente.”

Spear phishing

A diferencia de los anteriores, apunta a personas o grupos reducidos, generalmente miembros o personal de una empresa. Debido a esto no solo se personalizan con el nombre del destinatario, sino que incluyen enlaces falsos de sitios conocidos o con buena reputación.

Este tipo de phishing no suelen dirigirse al personal de dirección, normalmente se dirige a los empleados comunes y menos expertos que ocupan cargos en sectores no informáticos.

Implica un estudio previo de perfiles sociales para detectar a los individuos más vulnerables o que mayores beneficios puedan reportar bajo el empleo de la consigna: identificar el eslabón más débil dentro de la red corporativa que se intenta engañar.

Smishing (SMS)

Otra técnica relacionada es el smishing, cuya diferencia con el phishing consiste en que el robo de identidad se hace por medio de un mensaje de texto a través del teléfono móvil.

La notificación fraudulenta de la ganancia de premios es el canal más usual, teniendo el destinatario que responder con sus datos confidenciales para validar y acceder al falso premio.

En la actualidad, con los smartphones y tablets, han surgido un gran número de variedades; una muy usual en lugar del utilizar el servicio de SMS, emplea aplicaciones de mensajería como WhatsApp o Telegram.

Esto también ha dado lugar a que en vez de requerir un sms con las credenciales, se envíe a la víctima a una web maliciosa para infectar su terminal.

Otros objetivos que persigue esta técnica destinados a smartphones son la suscripción a servicios SMS premium o la llamada a números de tarificación especial

Nuevamente, WeliveSeguridad nos aporta una captura (a modo de ejemplo) para resaltar esta variante de la clase smishing:


Este es un medio de gran ventaja para el atacante porque no le implica costos y es de rápida y ágil propagación.

Vishing

Es oportuna una mención a otra modalidad de phishing que también involucra medios telefónicos: los casos de vishing. Esta variante implica un montaje más elaborado a través de falsos centros de atención telefónica para la realización de llamadas o SMS fraudulentos, haciéndose pasar por una entidad bancaria o similar.

El objetivo es también el robo de información confidencial, pero la técnica empleada es VoIP (voz sobre ip). Dicha información es posteriormente vendida o utilizada para actos delictivos.

En todo caso, el delincuente informático ha de contar con algún mecanismo para el envío de spam para hacer llegar la estafa a los teléfonos móviles de los confiados usuarios.

Para cerrar este apartado, cabe la referencia a un caso altamente conocido, fue The Fappening, en el cual se infiltraron imágenes desnudas de famosas, y donde Ryan Collins se hizo pasar por ICloud.

¿Qué puedes hacer para protegerte?

Activa el servicio CSSA (Cloud Security Service Alfa) que te brinde gestión, protección, seguridad, control, monitoreo, asistencia técnica y datos históricos de tu red, entre otros beneficios.


ALFA+