Resumen
El phishing es una práctica maliciosa en la que los atacantes se disfrazan de entidades confiables para engañar a las personas para que revelen información confidencial.
Puede protegerse contra la actividad de phishing reconociendo algunos signos comunes, como URL sospechosas y solicitudes urgentes de información personal.
Debe comprender diversas tácticas de phishing, desde estafas comunes por correo electrónico hasta phishing sofisticado, para fortalecer su defensa y seguridad cibernéticas.
la introducción
El phishing es una táctica maliciosa en la que personas mal intencionadas fingen ser fuentes confiables para engañar a las personas para que obtengan acceso a datos confidenciales. En este artículo, arrojaremos luz sobre el phishing y responderemos las preguntas: qué es el phishing, cómo funciona. y qué puede hacer usted para evitar ser víctima de este tipo de actividades fraudulentas.
¿Cómo se hace el phishing?
El phishing se basa principalmente en la ingeniería social, un método utilizado por los atacantes para manipular a las personas para que revelen información confidencial. Los atacantes recopilan datos personales de fuentes públicas (como las redes sociales) para crear correos electrónicos que parecen genuinos. Las víctimas a menudo reciben mensajes maliciosos que parecen haber sido enviados. por ellos. De contactos familiares u organizaciones acreditadas.
Los correos electrónicos que contienen enlaces o archivos adjuntos maliciosos son el tipo más común de phishing, y hacer clic en estos enlaces puede instalar malware en el dispositivo de un usuario o dirigir a las personas a sitios web falsos diseñados para robar información personal y financiera.
Dado que los correos electrónicos de phishing mal redactados son fáciles de detectar, los ciberdelincuentes utilizan herramientas avanzadas como chatbots y generadores de voz de IA para pasar desapercibidos en sus ataques fraudulentos, lo que dificulta a los usuarios distinguir entre correspondencia genuina y fraudulenta.
Identificar intentos de phishing
Reconocer los correos electrónicos de phishing puede resultar difícil, pero existen algunas señales que pueden ayudarle a detectarlos.
Signos comunes
Debe tener cuidado si el mensaje contiene URL sospechosas, utiliza direcciones de correo electrónico genéricas, crea una sensación de miedo o urgencia, implica una solicitud de información personal o contiene errores ortográficos y gramaticales y, en la mayoría de los casos, debe pasar el cursor. Haga clic en los enlaces para comprobar las URL sin tener que hacer clic en ellas.
Fraude de pagos electrónicos
Los estafadores a menudo se hacen pasar por proveedores confiables de servicios de pago en línea, como PayPal, Venmo o Wise. A medida que los usuarios reciben correos electrónicos fraudulentos instándolos a verificar sus datos de inicio de sesión, es esencial estar constantemente alerta e informar cualquier actividad sospechosa.
Ataques de phishing basados en actividades financieras
Los estafadores se hacen pasar por bancos o instituciones financieras y alegan violaciones de seguridad para obtener información personal. Las tácticas comunes incluyen correos electrónicos de phishing sobre transferencias de dinero o estafas de depósito directo dirigidas a nuevos empleados. También pueden reclamar una actualización de seguridad urgente.
Estafas de phishing relacionadas con el trabajo
En estas estafas, los atacantes se hacen pasar por gerentes, directores ejecutivos o directores financieros y exigen transferencias bancarias o compras ficticias a individuos. El phishing por voz que utiliza generadores de voz de IA por teléfono es otro método utilizado por los estafadores.
Cómo prevenir ataques de phishing
Recomendamos tomar varias medidas de seguridad para evitar ataques de phishing. No debe hacer clic directamente en ningún enlace que reciba. En su lugar, puede ir al sitio web oficial de la empresa o a los canales de comunicación para comprobar si la información que recibió es real o falsa, y puede hacerlo. Considere el uso de herramientas de seguridad como software antivirus, firewalls y filtros de spam.
Además, las organizaciones deben utilizar estándares de autenticación de correo electrónico para verificar los correos electrónicos entrantes. Los ejemplos comunes de métodos de autenticación de correo electrónico incluyen DKIM (correo identificado con clave de dominio) y DMARC (autenticación, informes y reconciliación de mensajes basados en dominio).
Las personas deben informar a sus familiares y amigos sobre los peligros del phishing, y las empresas deben educar a los empleados sobre las tácticas de phishing y ofrecer cursos de concientización/sesiones de capacitación de forma regular para reducir los riesgos.
Si necesita más ayuda e información, le recomendamos buscar iniciativas gubernamentales como OnGuardOnline.gov y organizaciones como Anti-Phishing Working Group para encontrar recursos y orientación más detallados sobre cómo detectar, evitar y denunciar ataques de phishing.
Tipos de phishing
Las técnicas de phishing están evolucionando, ya que los ciberdelincuentes utilizan diversos métodos, y los diferentes tipos de phishing suelen clasificarse según el objetivo y el vector de ataque, presentamos algunos tipos a continuación.
Clonar phishing
El atacante utiliza uno de los correos electrónicos originales y en buen estado que se envió anteriormente y copia su contenido para crear un mensaje similar que contiene un enlace a un sitio malicioso. El atacante también puede afirmar que este enlace está actualizado o es nuevo, afirmando que. el enlace anterior no era válido o caducó.
Phishing de lanza
Este tipo de ataque se centra en una persona u organización. Un ataque de lanza es más complejo que otros tipos de phishing porque se basa en recopilar información y explotarla para lograr el objetivo. El atacante primero recopila información sobre la víctima (por ejemplo, la víctima). nombres de amigos o familiares) y utiliza estos datos para engañar a la víctima para que abra un archivo malicioso en un sitio web.
Direcciones falsificadas
El atacante intenta corromper el registro del Sistema de nombres de dominio (DNS), lo que hace que los visitantes de un sitio web auténtico sean redirigidos a un sitio web falso creado por el atacante. Este tipo es el más peligroso porque los registros DNS no están bajo el control del usuario. Hace que el usuario sea incapaz de resistir.
Ballenero
Es una forma de phishing dirigido a personas ricas y personalidades importantes, como directores ejecutivos y funcionarios gubernamentales.
Suplantación de correo electrónico.
Los correos electrónicos de phishing suelen presentarse en forma de comunicaciones falsas que imitan a empresas o individuos auténticos. Los correos electrónicos de phishing pueden dirigir a las víctimas a abrir enlaces a sitios maliciosos, lo que permite a los atacantes recopilar credenciales de inicio de sesión e información de identificación personal mediante páginas de inicio de sesión falsas que pueden ser difíciles de detectar. Las páginas pueden contener virus troyanos, registradores de pulsaciones de teclas y otros scripts maliciosos que roban información personal.
Redirecciones
Los redireccionamientos envían al usuario a una URL diferente a la que pretendía visitar y los atacantes aprovechan las vulnerabilidades para insertar redireccionamientos e instalar malware en las computadoras de los usuarios.
Error tipográfico de alcance
Un error de escritura de dominio dirige el tráfico a sitios web falsos que utilizan ortografía en idiomas extranjeros, errores ortográficos comunes o matices de dominio de alto nivel. Los estafadores usan dominios para imitar interfaces de sitios web genuinos, explotando a los usuarios que escriben o leen mal una URL.
Anuncios pagados falsos
Los anuncios pagos son uno de los métodos utilizados para el phishing, ya que estos anuncios (falsos) utilizan dominios en los que los atacantes cometieron un error tipográfico intencionalmente y los compraron para aparecer en los resultados de búsqueda, y el sitio puede aparecer en la parte superior de los resultados de búsqueda en Google.
Ataque al abrevadero
Los estafadores analizan a los usuarios y determinan qué sitios web visitan con más frecuencia, escanean esos sitios en busca de vulnerabilidades e intentan insertar scripts maliciosos diseñados para atacar a los usuarios la próxima vez que visiten ese sitio web.
Suplantación de identidad y regalos falsos
Esto implica hacerse pasar por personas influyentes en las redes sociales. Los estafadores pueden hacerse pasar por líderes clave de empresas y anunciar obsequios o participar en otras prácticas engañosas. Las víctimas de esta estafa pueden ser atacadas individualmente a través de operaciones de ingeniería social destinadas a encontrar usuarios que sean fáciles de engañar. para piratear cuentas verificadas y modificar el nombre de usuario para hacerse pasar por una persona real manteniendo el estado verificado de la cuenta.
Los estafadores ahora apuntan cada vez más a plataformas como Discord,
Aplicaciones maliciosas
Los estafadores también pueden usar aplicaciones maliciosas para monitorear su comportamiento o robar información confidencial. Las aplicaciones pueden llegar a usted como rastreadores de precios, billeteras y otras herramientas relacionadas con las criptomonedas (que tienen una base de usuarios dispuestos a comerciar y poseer criptomonedas).
SMS y phishing de voz
El phishing puede ocurrir a través de SMS o mensajes de voz que alientan a los usuarios a compartir información personal.
Phishing versus suplantación de direcciones
Algunas personas piensan que la falsificación de direcciones es uno de los ataques de phishing, pero depende de un mecanismo diferente. La principal diferencia entre el phishing y la falsificación de direcciones es que el phishing requiere que la víctima cometa un error, mientras que la falsificación de direcciones solo requiere un intento de acceder a una. Sitio web auténtico que expone el registro del sistema de nombres. Sus dominios pueden verse comprometidos por un atacante.
Phishing en el campo de blockchain y monedas digitales
Si bien la tecnología blockchain proporciona una sólida seguridad de los datos debido a su naturaleza descentralizada, los usuarios de blockchain siempre deben protegerse contra la ingeniería social y los intentos de phishing, ya que los ciberdelincuentes a menudo intentan explotar las vulnerabilidades humanas para obtener acceso a claves privadas o datos de inicio de sesión. al error humano.
Los estafadores también pueden intentar engañar a los usuarios para que revelen sus frases iniciales o transfieran dinero a direcciones falsas, así que tenga cuidado y siga las mejores prácticas de seguridad.
Pensamientos concluyentes
En conclusión, es necesario comprender el phishing y estar constantemente al tanto de las tecnologías avanzadas para proteger la información personal y financiera. Con la aplicación de fuertes medidas de seguridad y la difusión del conocimiento y la conciencia, las personas y las organizaciones pueden protegerse del peligro del phishing. nuestro mundo digital interconectado. ¡Mantenerse seguro!
Artículos relacionados
5 consejos para asegurar tus saldos en moneda digital
5 formas de mejorar la seguridad de tu cuenta Binance
Cómo mantenerse seguro en el comercio P2P
Descargo de responsabilidad: este contenido se le proporciona "tal cual" solo para información general y fines educativos, sin ninguna representación ni garantía de ningún tipo. No debe interpretarse como asesoramiento financiero, legal o de otro tipo, ni pretende ser una recomendación para comprar ningún producto o servicio en particular. Debe buscar la ayuda de consultores especializados para brindar consultas. Si el artículo es proporcionado por un tercero, tenga en cuenta que las opiniones expresadas son las de ese tercero y no reflejan necesariamente los puntos de vista de Binance Academy. Lea nuestro descargo de responsabilidad completo aquí para obtener más detalles. Los activos digitales pueden estar sujetos a fluctuaciones de precios, el valor de su inversión puede aumentar o disminuir y es posible que no recupere la cantidad que invirtió. Usted es el único responsable de sus decisiones de inversión y Binance Academy no es responsable de las pérdidas en las que pueda incurrir. Este artículo no debe interpretarse como asesoramiento financiero, legal o profesional. Para obtener más información, consulte nuestros Términos de uso y Advertencia de riesgos.