¿Cómo funciona el phishing moderno?

El phishing es una técnica de ingeniería social de larga data utilizada por los ciberdelincuentes para engañar a las personas para que proporcionen información confidencial (por ejemplo, detalles de tarjetas de crédito, credenciales de inicio de sesión, números de teléfono, direcciones, etc.) para obtener ganancias financieras. La víctima ni siquiera sabe que su información ha sido comprometida, dado que no proporciona ningún consentimiento o aprobación. Según informes del Anti-Phishing Working Group (APWG) , en el cuarto trimestre de 2022, la cantidad de ataques de phishing en todo el mundo estableció un récord de más de 4,7 millones de ataques. Eso se traduce en una tasa de crecimiento de más del 150% anual desde 2019, siendo el sector financiero el más afectado.

Los atacantes utilizan estos medios electrónicos para distribuir textos e imágenes persuasivos para ganarse la confianza de la víctima convenciéndola de la legitimidad de la comunicación. Este tipo de estafa se presenta de muchas formas, incluido el phishing telefónico, el smishing (phishing por SMS), los correos electrónicos de phishing y los sitios web de phishing.

Una forma común de acercarse a víctimas potenciales es enviar enlaces de phishing (URL) de apariencia legítima por correo electrónico que conduzcan a sitios web maliciosos. Incluso los mensajes enviados en sitios y aplicaciones de redes sociales, como Facebook, WhatsApp e Instagram, pueden contener enlaces de phishing, junto con un motivo para hacer clic en ellos, mientras afirman que redireccionarán al usuario a la página oficial de algo que reconocen. Además, también es común encontrar enlaces maliciosos entre otros benignos como parte de los resultados de los motores de búsqueda.

Es importante tener en cuenta que los enlaces maliciosos pueden ser muy similares a la URL real que los atacantes intentan suplantar. Un ejemplo común de esas URL de phishing sería algo así como www.faceb00k.com , la versión camuflada del www.facebook.com real. La apariencia muy similar entre las URL genera otra brecha de seguridad que los atacantes pueden aprovechar, ya que los usuarios pueden escribir letras mal cuando ingresan una dirección URL en su navegador de Internet. Estas URL casi idénticas pueden ser tomadas por un sitio web de phishing. En la naturaleza, podemos encontrar ejemplos de URL de phishing con una apariencia completamente diferente a la real, y parecen ser una versión abreviada de URL muy largas, como las generadas por el acortador de URL de Google.

Los sitios web de phishing pueden ser difíciles de identificar. Con la esperanza de engañar a las víctimas para que proporcionen información personal, muchos sitios se parecen convincentemente a los que están imitando. En algunos casos, los atacantes construyen mal los sitios web falsos y es evidente que la página parece distorsionada. Como una versión mal renderizada de la original o hay elementos inesperados en la página (pies de página, menús o paneles). También podría haber algunos elementos textuales que incluyan tipografía y/o lenguaje que no coincidan.

Sin embargo, dado que se puede acceder a la mayor parte del código fuente de cualquier página web a través de un navegador de Internet, es bastante fácil crear páginas web de phishing que parezcan idénticas a las legítimas, lo que facilita la identificación de una página maliciosa mediante una evaluación visual o "intuición del usuario". muy difícil de hacer con precisión.

Los correos electrónicos de phishing suelen tener menos éxito gracias a los avances en su clasificación como spam. Sin embargo, algunos correos electrónicos y enlaces de phishing aún logran llegar a las bandejas de entrada. Sin embargo, los atacantes son cada vez más creativos en la forma de distribuir URL maliciosas. Por ejemplo, los estafadores pueden compartirlos durante llamadas telefónicas o enviando una gran cantidad de mensajes SMS: trucos para atacar a grupos específicos de personas. Esto puede variar desde publicar URL maliciosas en videos de YouTubers populares hasta aplicaciones engañosas para la autenticación, mostrando al usuario un código QR que contiene un sitio de phishing con un ladrón de credenciales instalado. A continuación puede encontrar dos ejemplos de campañas de phishing recientes.

El phishing sigue siendo un método de ataque líder porque permite a los ciberdelincuentes atacar a personas a gran escala. Por lo general, distribuyen estafas de phishing con el pretexto de ser representantes de las principales empresas donde los objetivos previstos tienen cuentas. Los bancos, las instituciones gubernamentales, las tiendas electrónicas, los proveedores de servicios de correo electrónico y las empresas de telecomunicaciones son las empresas más atractivas para los ataques de phishing, debido a su gran número de clientes y a los datos confidenciales involucrados.

¿Cómo es un sitio de phishing?

Algunos de los sitios web de phishing modernos son razonablemente fáciles de resaltar debido a las evidentes disparidades con los sitios legítimos. Hoy en día, los ciberdelincuentes utilizan kits de herramientas para crear páginas de phishing en poco tiempo, sin necesidad de conocimientos expertos en construcción de sitios web. A continuación puede encontrar un ejemplo de un ataque de este tipo, donde las diferencias visuales revelan la falsedad del sitio.

En las anteriores páginas de inicio de sesión de Facebook podemos ver algunos cambios que nos hacen dudar de la autenticidad del sitio web, como un logo más grande, diferencias tipográficas, la ausencia del texto en el pie de página, el botón “Crear nueva cuenta” en un verde ligeramente diferente. tono, entre otros.

Sin embargo, existen sitios de phishing extremadamente engañosos. En esos casos, los atacantes se esfuerzan mucho en hacer que parezcan reales. En los ejemplos siguientes, puede ver cuán similar se ve un sitio de phishing en comparación con su contraparte auténtica.

En las páginas de inicio de sesión que se muestran arriba, podemos detectar pequeños detalles que diferencian el sitio de phishing de la página de inicio de sesión real. La versión de phishing es casi un duplicado de la original, donde los cambios son muy sutiles y discretos intencionalmente para pasar desapercibidos para la víctima, es decir, el texto del pie de página tiene una alineación diferente, faltan elementos o no se muestran. correctamente.

Los sitios de phishing han evolucionado enormemente a lo largo de los años hasta convertirse en falsificaciones convincentes. Algunos incluso utilizan HTTPS, lo que da a los usuarios una falsa sensación de seguridad cuando ven el candado verde.

Los defectos menores en un sitio web de phishing pueden parecer obvios cuando se colocan junto a una página legítima, pero no son tan notorios por sí solos. Pero piense en la última vez que vio la página de inicio de sesión de un servicio que utiliza con frecuencia. Lo más probable es que le resulte difícil recordar todos los detalles, que es exactamente lo que esperan los estafadores de phishing cuando diseñan sus páginas.

¿Cómo se propagan las amenazas de phishing?

Históricamente, la forma más común de difundir sitios web de phishing ha sido a través de correos electrónicos de phishing, pero también se difunden mediante anuncios pagados que aparecen en los resultados de búsqueda. Otros vectores de ataque incluyen una técnica llamada clickbait. Los ciberdelincuentes suelen utilizar clickbait en las redes sociales prometiendo algo, como un teléfono gratis, para animar a los usuarios a hacer clic en enlaces maliciosos.

¿Qué sucede cuando un phisher atrapa?

Como casi todos los ciberataques modernos, el phishing se utiliza para obtener beneficios económicos. Cuando los usuarios proporcionan sus credenciales de inicio de sesión en un sitio de phishing, los ciberdelincuentes pueden abusar de ellas de varias maneras diferentes, según el tipo de sitio utilizado para realizar el phishing. Muchos ataques de phishing imitan a instituciones financieras, como bancos o empresas como PayPal, y pretenden generar importantes recompensas financieras para los ciberdelincuentes.

Si un ciberdelincuente engaña a un usuario para que proporcione sus credenciales a un sitio web de envío, como UPS o FedEx, es poco probable que obtenga ganancias al acceder a la cuenta. En cambio, pueden intentar usar las mismas credenciales para acceder a otras cuentas con información más valiosa, como una cuenta de correo electrónico, sabiendo que las personas suelen usar las mismas contraseñas en múltiples servicios. Otra forma de obtener ganancias para los ciberdelincuentes sería vender las credenciales robadas en la web oscura, una parte más profunda de Internet donde las redes privadas hacen negocios de forma anónima sin revelar información de identidad.

Este es un método de ataque de “rociar y rezar”. Muchos sitios de WordPress obsoletos en la web se pueden piratear y utilizar para campañas de phishing a un costo muy bajo. Generalmente, el precio de implementar un kit de phishing es de aproximadamente 25 dólares, lo que lo hace muy asequible y sigue siendo rentable para los atacantes. Otra desventaja del phishing (para la víctima potencial) es que los ataques tienen un tiempo de vida corto (TTL) y las URL cambian con frecuencia dentro de una campaña, lo que hace que los métodos de detección estándar, como la creación de listas de bloqueo de URL sospechosas, sean ineficaces contra los ataques de día cero. .

Cómo protegerte

El tiempo a menudo varía entre un ataque de phishing exitoso: el momento en que el ciberdelincuente adquiere las credenciales y el momento en que las utiliza. Cuanto más rápido seamos capaces de mitigar la amenaza, más víctimas potenciales podremos proteger. Una vez que se roban las credenciales de un usuario, no hay mucho que puedan hacer aparte de cambiarlas lo antes posible.

En 2024, los investigadores de ciberseguridad encontraron evidencia de que también existen nuevas técnicas para eludir varios filtros de spam, incluso los mejores de Google. Por ejemplo, los archivos adjuntos se envían como archivos PDF, que no contienen ningún texto, para redirigir a los usuarios a otros servicios de Google, como Google Docs. Además, se utilizan otros archivos adjuntos de phishing no estándar, como invitaciones de calendario, donde las URL que enlazan a sitios de phishing también se incluyen en la descripción del evento.

A continuación, encontrará una lista de verificación que le ayudará a evitar ser víctima de una de las formas más exitosas de ciberataque:

• En primer lugar, instale una solución antivirus en todos sus dispositivos, ya sea PC, móvil o Mac. El software antivirus actúa como una red de seguridad que protege a los usuarios en línea.
• No haga clic en enlaces ni descargue archivos de correos electrónicos sospechosos. Evite responderles, incluso si supuestamente provienen de . En su lugar, comuníquese con esas entidades a través de un canal separado y asegúrese de que el mensaje realmente provenga de ellas.
• Ingrese directamente la URL de un sitio web en su navegador siempre que sea posible, de modo que termine visitando el sitio que desea visitar, en lugar de una versión falsa.
• No confíes únicamente en el candado HTTPS verde. Si bien esto significa que la conexión está cifrada, el sitio aún podría ser falso. Los ciberdelincuentes cifran sus sitios de phishing para engañar aún más a los usuarios, por lo que es importante comprobar que el sitio que está visitando sea auténtico.
• Navegue por la web de forma segura a través de un navegador de Internet capaz de detectar sitios de phishing imperceptibles a simple vista. Al igual que Norton Secure Browser , que cuenta con funciones de seguridad de última generación distribuidas en múltiples capas de protección, evalúa la legitimidad de la URL desde sus componentes técnicos detrás de cortinas hasta el contenido visual que se muestra al usuario. Conduciendo a una mitigación eficiente de estas amenazas en campañas masivas.

Autor : Javier Aldana Iuit, PhD . Investigador de IA/ML de detección de amenazas cibernéticas de phishing visual y estafas, GEN