Guía gratuita
16 preguntas que DEBE hacer antes de contratar cualquier empresa de TI
El phishing es la forma más probable de que un empleado se enfrente a una ciberamenaza. Es la forma más común de ciberdelincuencia, con unos 3.400 millones de mensajes de spam enviados diariamente. Los estafadores de phishing trabajan incansablemente para identificar y explotar incluso las lagunas más pequeñas en las ciberdefensas de una organización, a menudo utilizando cebos de ingeniería social para aprovecharse de empleados complacientes y desinformados. Lo hacen muy bien y nunca dejan de aprovechar las nuevas tecnologías e idear nuevas formas de atraer a los empleados para que interactúen con sus mensajes maliciosos. Todo el mundo debería estar atento a estas nuevas estafas de phishing.
El phishing no siempre funciona de la misma manera. Existen enormes variaciones en las tácticas de ataque y en la información que los actores de la amenaza suplantan. En un ataque de phishing típico, los estafadores utilizan una comunicación de apariencia legítima, normalmente por correo electrónico, en la que piden a los usuarios que descarguen un archivo malicioso o les incitan a visitar un sitio de phishing que imita las páginas de inicio de sesión, en las que se pide a los usuarios que introduzcan credenciales e información de la cuenta. Si los usuarios muerden el anzuelo, sus sistemas y redes se ven comprometidos.
El phishing es el mayor problema de seguridad al que se enfrentan las empresas hoy en día y es la puerta de entrada a ciberataques devastadores. 9 de cada 10 ciberataques comienzan con un correo electrónico de phishing. Aunque el número de víctimas de phishing que denunciaron ataques al Centro de Denuncias de Delitos en Internet de la Oficina Federal de Investigación de Estados Unidos (FBI IC3) el año pasado fue significativamente inferior al del año anterior, el importe de las pérdidas que sufrieron las empresas por esos ataques de phishing aumentó sustancialmente en 2022, una tendencia que se espera que continúe.
Aunque la mayoría de los ataques de phishing operan en la misma línea, los actores de amenazas siguen evolucionando sus técnicas para engañar a los usuarios y hacerles caer en sus trampas. Por eso, todo el mundo debe estar al tanto de las últimas técnicas de phishing para mantenerse a sí mismo y a sus organizaciones fuera de peligro.
Estas son algunas de las últimas técnicas que los ciberdelincuentes están utilizando en las campañas de phishing:
1. Ataques de phishing asistidos por IA:
ChatGPT ha creado todo un frenesí en la industria tecnológica, e incluso los ciberdelincuentes quieren un trozo del pastel. Aunque los ciberdelincuentes han recurrido a ChatGPT y GPT3 para crear mensajes de phishing difíciles de detectar, debido al interés masivo en estas tecnologías, también han estado tentando a la gente con sitios web de phishing maliciosos, páginas de redes sociales y aplicaciones falsas que suplantan a ChatGPT para propagar diversos tipos de malware en el sistema de un usuario. Muchas bandas de ciberdelincuentes también utilizan el nombre y el icono de ChatGPT para engañar a los usuarios y hacer que descarguen varias familias de malware, lo que conduce al robo de información confidencial.
Recientemente, una investigación identificó una página no oficial de ChatGPT en las redes sociales, con muchos seguidores y “me gusta”, en la que aparecían varias publicaciones sobre ChatGPT y otras herramientas de OpenAI. Sin embargo, en la página de la red social había enlaces maliciosos a sitios web de phishing. Además, recientemente han aparecido varias páginas de pago falsas relacionadas con ChatGPT que roban el dinero y la información de las tarjetas de crédito de los usuarios.
2. Typosquatting:
El typosquatting es otra forma de ataque de phishing en la que los autores registran como propio un error ortográfico común del dominio de otra organización para engañar a los usuarios. También conocido como secuestro de URL, los sitios web de typosquatting se dirigen a personas que accidentalmente escriben mal la dirección de un sitio web. Una vez que el usuario aterriza en el sitio web fraudulento, aprovechan esta usurpación de identidad para vender productos de la competencia o engañar a los usuarios para que divulguen su información personal identificable (IPI). Recientemente, se descubrió un sitio web de typosquatting con el malware de robo de información Redline bajo la apariencia de una descarga para un cliente de escritorio de Windows ChatGPT.
3. Phishing en el conflicto entre Rusia y Ucrania:
Un acontecimiento mundial, especialmente una guerra, siempre es forraje para que los ciberdelincuentes desaten un aluvión de desagradables ciberataques. El conflicto entre Rusia y Ucrania es otra guerra en la que los actores del Estado-nación han aprovechado la situación para lanzar nuevos ataques de phishing. Estos ataques de phishing se dirigen a personas que ayudan a los refugiados ucranianos y a personas que hacen donaciones a las ONG y al gobierno de Ucrania. Los estafadores se hacen pasar por el gobierno ucraniano, Act for Peace, UNICEF y otras ONG para convencer a los usuarios de que son organizaciones benéficas legítimas que recaudan donaciones para apoyar a Ucrania y piden donaciones en criptomoneda.
Los phishers también se dirigen a fabricantes ucranianos preocupados por el impacto de la guerra en la cadena de suministro. Recientemente han salido a la luz numerosos casos de fabricantes ucranianos que han recibido correos electrónicos con archivos adjuntos maliciosos y falsos pedidos retenidos. La Agencia de Seguridad Nacional de Estados Unidos (NSA) ha advertido recientemente al público de que se ha producido un aumento de los intentos de piratas informáticos rusos de inyectar ransomware en la cadena de suministro logístico de Ucrania y en las cadenas de suministro de los países que apoyan a Ucrania en su lucha contra Moscú.
Recientemente se descubrió una estafa de PayPal en la que se descubrió a piratas informáticos que aprovechaban el sistema de pagos en línea para enviar facturas maliciosas a los usuarios que procedían directamente de PayPal. Muchos usuarios recibieron correos electrónicos advirtiéndoles de que se había producido una actividad fraudulenta en sus cuentas, amenazándoles con una multa de 699,99 dólares si las víctimas no tomaban medidas. Sin embargo, al igual que otros correos electrónicos de phishing, la gramática y la ortografía de estos correos electrónicos estaban desordenadas, y el número de teléfono que aparecía no estaba relacionado con PayPal.
Otro ataque de phishing que ha ganado adeptos es el abuso de los anuncios de Google y el SEO para engañar a los usuarios con el pretexto de ayudarles a comprar vehículos eléctricos (VE), ya que el gobierno de la India ha introducido recientemente políticas lucrativas para impulsar el crecimiento de su sector de VE. Una empresa de seguridad de Singapur, CloudSEK, descubrió esta estafa en la que más de 200 sitios de phishing engañaban a los usuarios para que dieran sus datos a planes de inversión falsos que se hacían pasar por marcas auténticas.
Fuente: ID Agent