A pesar del conocimiento generalizado de que no, no debe dar los detalles de su tarjeta de crédito a los príncipes perdidos en tierras lejanas, el phishing sigue siendo un tipo de ataque cibernético muy popular y exitoso. Más de 1 de cada 5 empleados abrió un correo electrónico de suplantación de identidad (phishing) en el último año, según cifras de un informe reciente de Verizon.

La buena noticia es que hay muchas cosas que puede hacer para prevenir el phishing, proteger su identidad y mantener seguros sus datos personales. Siga leyendo para obtener más información sobre algunas de las estafas de phishing más notables de 2018, cómo Emsisoft Anti-Malware maneja el phishing y algunos pasos simples que puede tomar para evitar ser víctima de un ataque de phishing.

¿Qué es el phishing?

El phishing es un tipo de ingeniería social en el que los cibercriminales se presentan como una institución o individuo legítimo para robar información confidencial, como nombres de usuario, contraseñas, detalles de tarjetas de crédito, etc. Una campaña de phishing puede implicar una distribución masiva, o los delincuentes pueden optar por crear una estafa altamente personalizada que se centre en un objetivo específico.

Las estafas de suplantación de identidad (phishing) se envían más comúnmente por correo electrónico. La estafa clásica involucra a un criminal que se hace pasar por una empresa aparentemente reputada como Amazon, PayPal o Microsoft. El remitente le solicita que verifique sus credenciales de inicio de sesión o detalles bancarios en un sitio web falso que, para todos los efectos, sea real. Cuando ingresas la información, se envía directamente a las manos de los malos. Aproximadamente 1,4 millones de estos sitios web de phishing se crean cada mes.

También es muy probable que haya recibido una estafa de phishing de tarifa por adelantado, en la que una persona adinerada le promete una verdadera fortuna a cambio de un pequeño pago por adelantado. Alerta de spoiler: la fortuna nunca llega.

Si bien el correo electrónico es el vehículo de entrega más común, es importante tener en cuenta que las estafas de suplantación de identidad (phishing) pueden llegar a través de muchos otros canales, incluidos los medios sociales, mensajes de texto, llamadas telefónicas y más.

Estafas de phishing notables de 2018

1. Airbnb GDPR ataque de phishing

En mayo de 2018, la Unión Europea introdujo el Reglamento general de protección de datos, un nuevo reglamento diseñado para estandarizar la ley de protección de datos en toda la UE. Como quizás sepas, debido a la avalancha de correos electrónicos que probablemente recibiste en esta época, casi todas las compañías afectadas por el GDPR enviaron correos electrónicos a sus usuarios para informarles de los cambios que habían realizado en sus políticas de privacidad.

Algunos estafadores aprovecharon esta oportunidad haciéndose pasar por Airbnb y enviando mensajes de phishing desde @ mail.airbnb.work (el verdadero dominio de correo electrónico de Airbnb es @ airbnb.com). El correo electrónico decía que los anfitriones de Airbnb no podrían aceptar nuevas reservas o enviar mensajes a los invitados hasta que aceptaran una nueva política de privacidad, e incluían un enlace a un sitio web fraudulento donde los destinatarios podían ingresar sus credenciales de inicio de sesión e información bancaria.

2. Entradas falsas para la Copa Mundial de la FIFA.

Las estafas que giran en torno a eventos actuales pueden ser más convincentes para los usuarios que, por lo general, desconfían de recibir mensajes no solicitados. Los ciberdelincuentes aprovecharon al máximo uno de los eventos más importantes del planeta, la Copa Mundial de la FIFA 2018, para lanzar una serie de ataques de phishing.

En el período previo al torneo, muchas personas informaron haber recibido correos electrónicos de revendedores que vendían boletos a precios inflados a eventos que de otra manera se agotaron. Como habrás adivinado, las entradas nunca se entregaron y los detalles bancarios de los compradores fueron robados. También hubo una serie de estafas de suplantación de identidad (phishing) que se centraron en atraer a las víctimas con promesas de visas de viaje, boletos de avión y servicios de alojamiento.

3. La estafa de facturación de Netflix

Con más de 130 millones de suscriptores, Netflix no solo es popular entre los aficionados al cine y los aficionados a los programas de televisión, sino que también es un éxito entre los ciberdelincuentes. Una cantidad de correos electrónicos de phishing de Netflix han circulado en 2018, instando a los destinatarios a actualizar su información de pago para evitar que se suspenda su cuenta. El enlace en el correo electrónico conduce a un sitio web de aspecto convincente que roba el nombre de usuario, la contraseña y la información de pago del objetivo.

4. El phishing de voz cada vez más avanzado

El phishing de voz, la práctica de hacerse pasar por una entidad legítima por teléfono para extraer información confidencial, no es un concepto nuevo, pero se ha vuelto notablemente más sofisticado en los últimos años. Gracias a los avances en automatización y reconocimiento de voz, los atacantes ahora pueden usar una combinación de robots y personas que llaman para imitar más eficazmente marcas conocidas y contactar a los objetivos de manera más eficiente.

¿Cómo previene el software antivirus los ataques de phishing?

Muchas soluciones antivirus modernas ofrecen una capa de protección diseñada para prevenir ataques de phishing. Estos productos generalmente no evitan que los correos electrónicos de phishing terminen en su bandeja de entrada; en su lugar, identifican los sitios web de suplantación de identidad (phishing) y bloquean la carga de la página antes de que pueda acceder a ella y, sin darse cuenta, delaten su información confidencial.

Pero, ¿cómo distingue exactamente el software entre un sitio web seguro y un sitio web de phishing? Antes de que podamos responder a esta pregunta, primero debemos analizar cómo funciona el Protocolo de transferencia de hipertexto (HTTPS).

HTTPS es el protocolo de comunicación utilizado para enviar datos entre su navegador y el servidor web al que está conectado. La "S" en HTTPS significa "Seguro", e indica que los datos que se transfieren en un sitio web determinado están cifrados. Puede saber que un sitio web utiliza HTTPS al revisar la URL o al buscar un ícono de candado en la barra de direcciones.

La adopción de HTTPS se ha disparado dramáticamente en los últimos años. Hoy en día, alrededor del 86 por ciento de todos los sitios web abiertos en Chrome en los EE. UU. Se cargan a través de HTTPS, según el Informe de transparencia de Google. Hace solo dos años, esa cifra rondaba el 60 por ciento.

La amplia aceptación de HTTPS ha ayudado a hacer de la web un lugar más seguro y más seguro, pero plantea un desafío interesante para algunas compañías de antivirus.

¿Por qué?

Bueno, muchos productos antivirus se basan en la inspección del tráfico web para identificar y bloquear los intentos de phishing. Sin embargo, como se mencionó anteriormente, HTTPS está diseñado específicamente para cifrar su tráfico, lo que significa que no hay forma de que el software antivirus sepa si un sitio web es malicioso con métodos convencionales.

Esto significa que a las compañías antivirus les quedan tres opciones principales para prevenir los ataques de phishing, cada una con sus ventajas y desventajas:

1. Filtrado de tráfico de red

Como se mencionó anteriormente, el cifrado HTTPS evita que el software antivirus sepa qué sitios web está visitando, lo que significa que el software no puede verificar la seguridad de una URL de HTTPS.

Para solucionar esto, hay un par de formas diferentes de filtrar el tráfico de red que se carga a través de HTTPS:

Intercepción HTTPS

La mayoría de los productos antivirus utilizan la intercepción HTTPS, que implica la instalación de un servidor proxy local que falsifica de manera efectiva todos los Certificados SSL (los bits de código que garantizan la comunicación entre usted y un sitio web) para crear un ataque de intermediario. Cuando visita un sitio web HTTPS, su conexión saliente se redirige al servidor proxy local, que genera un nuevo certificado SSL conocido como un certificado comodín para hacerse pasar por el sitio web solicitado antes de verificar su seguridad. Si el sitio web se considera seguro, se transmite a su navegador y el sitio web aparecerá en su pantalla. Si se encuentra que el sitio web no es seguro, el proxy enviará una advertencia al navegador.

El problema es que su navegador no puede verificar el certificado de seguridad del sitio web real, ya que solo puede ver el certificado SSL falso que ha generado el servidor proxy.

Si bien este enfoque puede proporcionar altas tasas de bloqueo, sí introduce algunos riesgos de seguridad significativos. En primer lugar, podría dejarlo más vulnerable a las vulnerabilidades maliciosas de los intermediarios. En segundo lugar, volver a cifrar sus datos con un certificado de seguridad falso significa que no hay forma de saber si su conexión a un sitio web es realmente segura o no, lo que potencialmente podría hacer que envíe información confidencial a través de una conexión no segura.

La intercepción de HTTPS también plantea algunas preguntas sobre la privacidad. Una lista negra de cada URL de phishing conocida tendría un tamaño de cientos de megabytes y debería actualizarse continuamente, por lo que no es práctico almacenar la lista negra localmente en su computadora. En su lugar, los productos antivirus que utilizan filtros basados ​​en URL almacenan la lista negra en sus servidores y consultan la URL cada vez que visita un sitio web. El hecho de que cada URL que visite sea consultada por el servidor significa que su compañía de antivirus podría potencialmente recopilar información en todos los sitios web que visite si lo desearan.

Filtro de indicación de nombre de servidor

Otra forma de prevenir los ataques de phishing es filtrar el tráfico de red en función de los bits no cifrados de una conexión HTTPS, como la Indicación del nombre del servidor (SNI). SNI es una extensión del protocolo TLS en el que se basa HTTPS. Cuando se usa SNI, el cliente envía el nombre de host al que desea conectarse durante el protocolo de enlace inicial TLS. SNI no está cifrado, por lo que su software antivirus puede ver el host al que desea acceder y, por lo tanto, determinar si es malicioso o no. Si su software considera que el host es malicioso, interviene e impide que la página se cargue.

El filtrado de la red también puede implicar el bloqueo del tráfico a direcciones IP que alojan sitios web de phishing o incluso el bloqueo de rangos de IP.

2. Extensiones de navegador

Las extensiones de navegador son otra forma común de combatir el phishing. Los navegadores permiten que las extensiones intercepten intentos de conexión y accedan al contenido de las páginas web, independientemente de si la conexión o la página web están cifradas o no. Las extensiones del navegador están limitadas por el hecho de que, a diferencia de los otros métodos de esta lista, que funcionarán con todas las aplicaciones que se ejecutan en su sistema, solo son compatibles con los navegadores específicos para los que se han desarrollado.

3. Interceptar resolución de nombres de host

Como sabrá, cada dispositivo conectado a Internet tiene una dirección IP, que es una serie de números que otras máquinas pueden usar para encontrar el dispositivo. El Sistema de nombres de dominio (DNS) ayuda a traducir la dirección IP de un dispositivo en algo que es un poco más fácil de leer para los humanos. Por ejemplo, es mucho más fácil recordar google.com que la dirección IP 173.194.32.195.

La resolución del nombre de host es un proceso en el que un nombre de host (por ejemplo, google.com) se convierte a su dirección IP (73.194.32.195). Algunos programas antivirus evitan el phishing al interrumpir este proceso para detener la carga de sitios maliciosos. Esto se puede lograr ya sea interceptando paquetes DNS o configurando un servidor DNS que tenga listas negras apropiadas (SafeDNS, OpenDNS, etc.).

¿Cómo maneja Emsisoft el phishing?

Emsisoft Anti-Malware usa el filtrado del tráfico de red para evitar el phishing, pero NO interceptamos ni desciframos el tráfico HTTPS. En su lugar, nuestro módulo Surf Protection bloquea el tráfico en función de las direcciones IP y la información que obtenemos del tráfico no cifrado, como HTTP, o los campos SNI de las conexiones basadas en TLS como HTTPS. Esto permite que nuestro software funcione en todos los programas, a diferencia de algunos escáneres de phishing que están limitados a ciertos navegadores. Utilizamos una lista negra local, lo que significa que las URL nunca se consultan en nuestros servidores, y nuestros usuarios pueden estar seguros de que no tenemos forma de ver los sitios web que visitan.

Si bien la intercepción de HTTPS puede proporcionar tasas de bloqueo de phishing ligeramente superiores, no creemos que valga la pena invadir la privacidad y la seguridad de nuestros usuarios. Esto es particularmente cierto dado que cada navegador moderno tiene una sólida protección contra phishing incorporada directamente en el software. Un informe de 2017 NSS Labs sobre la seguridad del navegador web mostró:

• Microsoft Edge protege contra el 99 por ciento de los ataques de phishing.

• Google Chrome protege contra el 87 por ciento de los ataques de phishing.

• Mozilla Firefox protege contra el 70 por ciento de los ataques de phishing.

Estas cifras sugieren que es muy probable que su navegador bloquee automáticamente cualquier URL poco fiable con la que pueda encontrarse. Emsisoft Anti-Malware, y todos los demás programas antivirus, están ahí para proporcionar una segunda opinión y detectar cualquier cosa que pueda pasar por alto. Puede leer más sobre nuestra opinión sobre la intercepción de HTTPS en una de nuestras publicaciones de blog anteriores.

¿Qué más puede hacer para protegerse contra las estafas de phishing?

Es importante recordar que el software antivirus es solo una pieza del rompecabezas cuando se trata de protección contra phishing. Hay muchas cosas que puede hacer para evitar las estafas de phishing, entre ellas:

1. Piensa antes de hacer clic.

Tenga cuidado al hacer clic en los enlaces de los correos electrónicos, mensajes de texto o mensajes instantáneos, incluso si parece que se envían desde una fuente familiar o confiable. Pase el cursor sobre los enlaces antes de hacer clic en ellos para verificar que la URL lleva a un sitio web legítimo y nunca divulgue su contraseña, número de PIN u otra información confidencial. Si tiene alguna duda, verifique con el remitente antes de hacer clic en algo sospechoso.

2. Mantenga su navegador actualizado

Los desarrolladores publican regularmente actualizaciones para corregir las vulnerabilidades de seguridad conocidas en su software. Siempre actualice su navegador, sistema operativo y otras aplicaciones cuando se le solicite, y habilite las actualizaciones automáticas siempre que sea posible.

3. Comprobar que el sitio web es seguro.

Antes de ingresar información confidencial (incluido su nombre de usuario y contraseña) en cualquier sitio, asegúrese de verificar que el sitio sea seguro. La forma más sencilla de hacerlo es confirmar que la URL del sitio comienza con HTTPS y que hay un candado en la barra de direcciones. Algunos sitios web también mostrarán sellos de confianza para indicar que el sitio es seguro. Si su navegador o software antivirus identifica un sitio web de suplantación de identidad, lo alertará y bloqueará el acceso al sitio. No ignore estas advertencias a menos que esté 100% seguro de que es un falso positivo.

4. Instalar la extensión del navegador anti-phishing

Los navegadores modernos vienen equipados con una protección contra phishing bastante robusta, pero puede llevar las cosas al siguiente nivel instalando una extensión de navegador dedicada contra el phishing. Microsoft lanzó recientemente la Protección del navegador de Windows Defender (la misma tecnología que utiliza para proteger a los usuarios de Edge), aunque actualmente solo es compatible con Google Chrome.

5. Familiarízate con el lenguaje de phishing

Los ataques de phishing pueden parecer aterradoramente convincentes. Una de las maneras más fáciles de identificar un correo electrónico o mensaje instantáneo sospechoso es familiarizarse con el lenguaje de phishing más utilizado. Esto podría incluir:

• Errores tipográficos, errores gramaticales y expresiones que suenan poco profesionales o que no son de marca.

• Lenguaje que crea un sentido de urgencia.

• Solicitudes para que verifique su cuenta, dirección, información bancaria y otra información confidencial. Salutaciones que se dirigen a usted como "Cliente" en lugar de usar su nombre y / o apellido real.

6. Escriba las URL y use marcadores en lugar de hacer clic en los enlaces

Hacer clic en enlaces en correos electrónicos aleatorios puede ser un juego muy arriesgado. En su lugar, simplemente abra su navegador y escriba manualmente la URL de la empresa de la que recibió un correo electrónico. Alternativamente, puede marcar sus sitios web más utilizados y abrirlos rápidamente desde su navegador cuando sea necesario. ¡Solo asegúrese de que los sitios sean legítimos antes de marcarlos!

7. Recuerde que el phishing no solo afecta a la banca en línea

El phishing se asocia más comúnmente con la banca en línea, pero vale la pena recordar que los ataques de phishing se pueden usar para hacerse pasar por cualquier organización o individuo, y los efectos pueden ser casi tan devastadores. Por ejemplo, perder las credenciales de inicio de sesión en su correo electrónico o cuentas de redes sociales podría tener consecuencias de gran alcance en su vida personal y profesional. El robo de sus credenciales de inicio de sesión en un sitio también puede afectar sus otras cuentas si usa las mismas contraseñas para otros servicios en línea.

8. Ten cuidado con los pop-ups

Afortunadamente, las ventanas emergentes no están tan extendidas como en el pasado, pero aún se utilizan en algunos sitios web legítimos. Tenga mucho cuidado al ingresar información en estas ventanas, ya que ha habido muchos casos de ataques de suplantación de identidad (phishing) en ventanas emergentes mientras se hacen pasar por una parte legítima del sitio web principal. Google Chrome, Firefox y Microsoft Edge tienen configuraciones integradas para bloquear ventanas emergentes.

9. Ten en cuenta otros vectores de ataque.

El correo electrónico es, con mucho, la forma más común de envío de ataques de phishing, pero eso no significa que otros canales de comunicación sean seguros. Los ataques de phishing en las redes sociales se han vuelto cada vez más comunes en los últimos años, y los investigadores incluso han visto cómo varias aplicaciones de phishing maliciosas se abren paso en Google Play. Esto resalta la importancia de estar atento a la hora de transmitir datos en cualquier dispositivo conectado a Internet, independientemente de la aplicación que esté utilizando o del método de comunicación.

Luchar contra el phishing

Al aprovecharse de las debilidades humanas naturales, las estafas de phishing siguen siendo un tipo de ataque común y efectivo. Los productos antivirus tienen un papel importante que desempeñar en la prevención de ataques de phishing, pero los usuarios deben ser conscientes de cómo su software antivirus realmente combate el phishing y los riesgos de seguridad y privacidad involucrados.

¿Cuál crees que es la mejor manera de lidiar con el phishing? ¿Debería el software antivirus utilizar la intercepción HTTPS para bloquear más ataques de phishing, incluso si eso implica un riesgo potencial para su seguridad y privacidad? ¿O preferiría que su software antivirus no se entrometa con los certificados SSL, incluso si eso significa una tasa de bloqueo de phishing ligeramente más baja? Háganos saber sus pensamientos.

¡Que tengas un buen día (libre de malware)!

#Phishing #Antivirus #AntiMalware