Al principio, los ataques de phishing eran bastante básicos y utilizaban un correo electrónico con un enlace incrustado para que el usuario desprevenido hiciera click. Sin embargo, hoy en día los ataques de phishing pueden ser mucho más sofisticados; incluso pueden incluir sitios web HTTPS.
Por ejemplo, HTTPS puede prevenir el robo de datos y los ataques de intermediario. Pero también puede permitir que el tráfico malicioso se oculte tras el cifrado. Dado que la puerta de enlace segura no puede inspeccionar los datos cifrados, deja pasar todo, incluido el código malicioso. Los informes del FBI sobre ataques HTTPS datan de 2019.
Un ejemplo de un ataque de phishing sofisticado y moderno es el uso de nombres de dominio erróneos. Aunque parezca muy técnico, en realidad es bastante sencillo. Los delincuentes crean un sitio web que simula ser Adobe, pero su dirección web usa el carácter latino "ḅ" en lugar de la "b" habitual, por lo que el resultado es "adoḅe.com" (nótese el punto debajo de la "b").
A partir de ahí, el atacante puede convertir "adoḅe.com" en un sitio HTTPS y crear numerosos subsitios. Un sitio como "get.adoḅe.com" podría crearse y enviarse por correo electrónico a las cuentas objetivo como un enlace. Y, por supuesto, los hipervínculos tienen un subrayado que oculta el carácter falso, lo que significa que el enlace parece 100 % legítimo. Como se muestra en el siguiente ejemplo, el punto debajo de la "b" no se puede ver porque el subrayado del hipervínculo lo ha tapado.
Éste es sólo un ejemplo, y existen muchas maneras en que pueden ocurrir ataques de phishing. Sin embargo, existen medidas prácticas para combatirlos y mitigar el riesgo:
- Capacita a tus empleados para que identifiquen emails maliciosos y sepan qué hacer con ellos.
- Realiza simulacros de campañas de phishing y pruebas de penetración anti-phishing.
- Asegúrate de que los empleados utilicen contraseñas seguras y únicas para sus cuentas de trabajo y explícales que las contraseñas de las cuentas de la empresa deben ser diferentes a las de sus cuentas de correo electrónico personales.
- Utiliza la autenticación multifactor (MFA) para reducir el riesgo de robo de cuentas no autorizado.
- Instruye a tu personal sobre los riesgos de la ingeniería social: eviten publicar información laboral en redes sociales públicas que pueda utilizarse para identificar a su empleador, su puesto y responsabilidades, y, por lo tanto, para un ataque de phishing dirigido.
- Instala una puerta de enlace de email segura con antispam, antimalware y filtrado basado en políticas. Esto también podría incluir SPF (Marco de Políticas de Remitente), DMARC (Autenticación, Informes y Conformidad de Mensajes Basada en Dominio) y DKIM (Correo Identificado por Claves de Dominio), así como detección de anomalías en correos electrónicos entrantes y salientes.
- Si tienes alguna duda sobre un email o sospechas de los enlaces, repórtalo inmediatamente a tu equipo de IT o seguridad cibernética. Ellos pueden revisarlo y detectar cualquier enlace o sitio web sospechoso abierto en un entorno de pruebas. Luego, te informarán si el correo electrónico es genuino.
- Revisa las medidas de mitigación y asegúrate de que las actualizaciones del sistema se realicen periódicamente.
El phishing puede realizarse por correo electrónico, SMS, redes sociales o teléfono. Dado que los ataques de phishing son cada vez más sofisticados y difíciles de detectar, es crucial mantenerse alerta e informado para prevenirlos.
El equipo de Ebury está aquí para ayudar a nuestros clientes a adoptar las mejores prácticas para proteger su información confidencial.
📩 Si sospechas de un posible caso de phishing o haz sido víctima de fraude relacionado con nuestra plataforma, nombre de marca, servicios, etc, por favor contáctanos a: fraude@ebury.com
