Según un informe elaborado por Kasperskyel 9.28% de ataques de spam phishing de todo el mundo ha sido recibido en España, situándose como el séptimo emisor de spam en todo el mundo.

Estos kits van desde un simple código hasta productos altamente avanzados con capacidad para robar credenciales, tokens MFA y otra información confidencial.

Los ataques de phishing que se saltan el MFA (autenticación multifactor) comienzan con un phishing de consentimiento. Normalmente, el usuario recibe un correo de un «conocido» con un archivo compartido. Cuando hace clic en el enlace, el correo le pide al usuario autorización para acceder a su información. Acostumbrados a aceptar «los términos y condiciones» de absolutamente todo y al no desconfiar del remitente del correo, el usuario acepta dichos permisos. Es entonces cuando el delincuente captura el token de consentimiento, pudiendo así acceder a su cuenta.

Además, estos kits de phishing implementan proxies inversos (TRP) que permiten a los atacantes insertarse en las sesiones de navegador existentes. Entonces, mientras la víctima visita un sitio web legítimo (como puede ser la web del banco o de una tienda online), el atacante observa la actividad en todo momento, pudiendo robar cookies de sesión. Estas cookies se pueden utilizar luego para obtener acceso a cuentas sin necesidad de usuario, contraseña o token MFA.

Aunque la seguridad total en Internet no se puede garantizar, sí que se pueden seguir unas pautas para evitar caer en este tipo de phishing, como podrían ser las siguientes:

Examine los enlaces detenidamente.

Confirme los remitentes de correo electrónico y su procedencia legítima.

En caso de duda, confirme: la mayoría de los phishing vienen de remitentes «fiables» pero realmente son los ciberdelincuentes haciéndose pasar por contactos conocidos. Si el usuario desconfía, mejor preguntar.

Los usuarios de Internet estamos expuestos a muchos tipos de ataques. Los diferentes ataques con los que se pueden infectar nuestros equipos son los diferentes tipos de malware, virus, troyanos y gusanos informáticos. Otro que está muy en auge también, y cuyo objetivo es robar las credenciales de nuestras cuentas son los ataques de phishing. En ese aspecto muchos de los ataques de ese tipo que se producen en la actualidad están orientados a las redes sociales. En este artículo vamos a ver cómo los atacantes aumentan los ataques de phishing en las redes sociales gracias a un estudio de PhishLabs.

Otro factor a tener en cuenta es que los datos de telecomunicaciones de los operadores también se siguen comercializando en los sitios Dark Web. Los ciberdelincuentes que consiguen acceder a los datos de una cuenta tras obtener las credenciales de inicio de sesión pueden llegar a tener acceso a los datos del método de pago y a información confidencial. En la actualidad, como veremos a continuación, el phishing en las redes sociales como forma en la que los malos actores saquen beneficios está a la orden del día.

El aumento del phishing en las redes sociales

Los ciberdelincuentes a la hora de realizar sus ataques buscan objetivos rentables que les permitan obtener beneficios de algún tipo. En ese aspecto, ahora mismo las redes sociales son ahora su objetivo de ataque preferido, además, los ataques por objetivo están aumentando constantemente y este año lleva un incremento del 82%. También la industria de los servicios de pago continúa siendo la más atacada, pero la dotación de personal y la contratación experimentaron el aumento más pronunciado de los ataques en comparación con el segundo trimestre.

Otra cosa de la que se habla en este informe es que los incidentes de Vishing también se han duplicado e incluso triplicado en número, por segundo trimestre consecutivo. Por si no lo sabes, se trata de un tipo de estafa de ingeniería social en la que a través de una llamada de teléfono, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima.

Una cosa está clara, cada vez aumentan más los ataques de phishing en las redes sociales. John LaCour opina que ante el aumento continuo de las amenazas en las redes sociales se hace necesario que las empresas prioricen su visibilidad en plataformas como Twitter, Facebook, Instagram y más. Además, añade que a medida que aumenta la contratación estacional para las vacaciones, la industria de personal en particular debe estar preparada para lidiar con los problemas online de suplantación de identidad y otras estafas Fuente de informqacion:

Historia del phishing

El origen del nombre “phishing” es fácil de rastrear. El proceso de llevar a cabo una estafa de phishing es muy similar al de la pesca (“fishing” en inglés). Se prepara el anzuelo pensando en engañar a una víctima, y luego se lanza y se espera a que pique. En cuanto al dígrafo “ph” en sustitución de “f,” podría ser el resultado de la combinación de las palabras inglesas “fishing” y “phony,” pero algunas fuentes apuntan a otro posible origen.

En los años 70, se formó una subcultura en torno a los ataques de baja tecnología para explotar el sistema telefónico. Estos primeros hackers se llamaban “phreaks”, una combinación de las palabras inglesas “phone” (teléfono) y “freak” (raro, friqui). En una época en la que no había demasiados ordenadores en red que hackear, el phreaking era una forma común de hacer llamadas gratuitas de larga distancia o llegar a números que no salían en los listines.

Un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe nigeriano es una de las estafas más antiguas de Internet, El correo electrónico se marca como ‘urgente’ o ‘privado’ y su remitente solicita al destinatario que proporcione un número de cuenta bancaria para remitir los fondos a un lugar seguro”.

Phishing telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o “vishing,” el phisher llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Phishing vía SMS, o “smishing,” es el gemelo malvado del vishing, que realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.


Consejos para evitar caer en phishing

  1. Siempre verifica el enlace.

Antes de hacer clic, coloca el cursor sobre un enlace y mira la esquina inferior izquierda de la pantalla para ver la URL correspondiente. Asegúrate de que sea genuino, que una L no haya sido reemplazada por un 1 o que «.com» no haya sido reemplazado por «.net».


2. Busca «https» al comienzo de las URL.

Todos los sitios web comienzan con http o https. La «s» significa que el sitio es seguro y está acompañado por un icono de candado en la barra de direcciones. Si el sitio que estás visitando NO comienza con «https», te recomendamos encarecidamente que evites ingresar cualquier información personal en esa página. 

3. Instala el software antivirus. 

Si no tiene una solución antivirus, puede descargar software de forma gratuita y protegerte de inmediato. Mantén siempre actualizado el software descargando las actualizaciones cuando se le solicite. El software antivirus puede detectar correos electrónicos de phishing, archivos adjuntos maliciosos y sitios web maliciosos. 

4. Evita abrir archivos adjuntos y hacer clic en enlaces de correos electrónicos no solicitados.

Además de buscar señales de alerta como errores ortográficos, mala gramática o solicitudes de información personal, nunca hagas clic en enlaces o archivos adjuntos en ningún correo electrónico a menos que estés 100% seguro de que proviene de una fuente confiable.

5. Desconfía siempre de los mensajes de correo alarmantes

El principal consejo que debes tener en cuenta es que la mayoría de las entidades de confianza nunca solicitarían datos personales ni información de la cuenta a través de correo electrónico. Dichas entidades incluyen bancos, compañías de seguros y cualquier otra empresa con la que mantengas relaciones comerciales. Si en alguna ocasión recibes un mensaje de correo electrónico solicitándote información de una cuenta de cualquier tipo, elimínalo y llama a la empresa en cuestión para asegurarte de que no hay ningún problema con tu cuenta.

No abras archivos adjuntos a estos mensajes sospechosos o extraños, especialmente los que vengan en formato Word, Excel, PowerPoint o PDF. Otro consejo útil para prevenir el phishing es que evites en todo momento hacer clic en enlaces incluidos en mensajes de correo electrónico, ya que pueden albergar malware.

6.La importancia del software de seguridad para Internet

Otra manera sencilla de reducir la exposición a los mensajes de phishing consiste en utilizar protección antivirus gratuita y software antispam para protegerte cuando los mensajes maliciosos se infiltran en tu ordenador. Puesto que las herramientas antimalware están diseñadas específicamente para ofrecer protección incluso frente a las amenazas más complejas, es de vital importancia que las instales en todos tus ordenadores, ya que están concebidas como complemento al sentido común.

7.Administración de contraseñas sin complicaciones

Además de protección antivirus en tu ordenador, es fundamental que utilices un administrador de contraseñas para gestionar tus credenciales online. El motivo por el que necesitas un administrador de contraseñas es que hoy en día resulta imprescindible tener contraseñas diferentes para cada sitio web, ya que si se produce una filtración de datos, los atacantes tratarán de utilizar las credenciales descubiertas en toda la web. Una de las mejores funciones de los administradores de contraseñas es que, por lo general, rellenan los formularios de inicio de sesión automáticamente para minimizar el número de clics de ratón.

Por otra parte, muchos administradores de contraseñas incluyen ediciones portátiles que se pueden guardar en una unidad USB para que puedas llevar siempre contigo todas tus contraseñas.

8. Utilizan nombres y adoptan la imagen de empresas reales.

9.Llevan como remitente el nombre de la empresa o el de un empleado real de la empresa.

10.Incluyen webs que visualmente son iguales a las de empresas reales.

11.Como gancho utilizan regalos o la perdida de la propia cuenta existente.

12.Verifica la fuente de información de tus correos entrantes.

Tu banco nunca te pedirá que le envíes tus claves o datos personales por correo. Nunca respondas a este tipo de preguntas y si tienes una mínima duda, llama directamente a tu banco para aclararlo.

13.Nunca entres en la web de tu banco pulsando el links incluidos en correos electrónicos

No hagas clic en los hipervínculos o enlaces que te adjunten en el correo, ya que de forma oculta te podrían dirigir a una web fraudulenta.

Teclea directamente la dirección web en tu navegador o utiliza marcadores/favoritos si quieres ir más rápido.

14.Refuerza la seguridad de tu ordenador

El sentido común y la prudencia es tan indispensable como mantener tu equipo protegido con un buen antivirus que bloquee este tipo de ataques. Además, siempre debes tener actualizado tu sistema operativo y navegadores web.

15.Revisa Periódicamente tus cuentas

Nunca está de más revisar tus cuentas bancarias de forma periódica, para estar al tanto de cualquier irregularidad en tus transacciones online.

16.El phishing sabe idiomas

El phishing no conoce fronteras y pueden llegarte ataques en cualquier idioma. Por norma general están mal escritos o traducidos, así que este puede ser otro indicador de que algo no va bien.

17.Ante la mínima duda se prudente y no te arriesgues

La mejor forma de acertar siempre es rechazar de forma sistemática cualquier correo electrónico o comunicado que incida en que facilites datos confidenciales.

Elimina este tipo de correos y llama a tu entidad bancaria para aclarar cualquier duda..

Fuente de información:

https://unaaldia.hispasec.com/2022/02/los-nuevos-ataques-de-phishing-que-se-saltan-el-mfa.html

https://www.redeszone.net/noticias/seguridad/ciberdelincuentes-aumentan-ataques-phishing-redes-sociales/

https://es.malwarebytes.com/phishing/

https://blog.avast.com/es/phishing-sites-go-undetected-by-almost-three-quarters-of-consumers

https://www.kaspersky.es/resource-center/preemptive-safety/phishing-prevention-tips

https://www.uv.mx/infosegura/general/consejo_phishing-2/

https://www.pandasecurity.com/es/mediacenter/consejos/10-consejos-para-evitar-ataques-de-phishing/

https://blog.avast.com/es/phishing-sites-go-undetected-by-almost-three-quarters-of-consumers