Ataques de Phishing: ejemplos

Después del artículo ¿Qué es el phishing? Amenazas y trucos para detectarlos donde veíamos las maneras de identificar un ataque de phishing, hoy toca ver las maneras más utilizadas por los cibercriminales para engañarnos. Antes de todo conviene explicar el término “campaña”, y el por qué de su importancia.

Cuando un pirata informático o cibercriminal (término confundido comúnmente con el de hacker) decide suplantar a una compañía mediante un ataque de phishing, su éxito será directamente proporcional al número de personas a las que haga llegar el ataque.

Por ejemplo, un cibercriminal decide mandar un correo malicioso suplantando al “banco X” a 100 personas. De estas 100, 30 son clientes del “banco X”. Si de estas 30, 20 son expertos informáticos, y 5 han leído este artículo, a nuestro criminal solo le quedan 5 personas como víctimas potenciales. ¿Pero, qué pasaría si en lugar de 100 personas el criminal tiene una lista de 10.000.000? Esas 5 personas, se convertirían en una cantidad de víctimas mucho mayor.

Es por esto, por lo que se habla de campañas, ya que los ataques rara vez son dirigidos a una persona concreta. Los ataques se dirigen a un número muy elevado, buscando el mayor éxito posible. Al fin y al cabo, al atacante le da igual de quién sea el dinero.

¿Cómo se lanzan los ataques de phishing?

A diferencia de lo que algunas personas tienden a pensar, los ataques phishing son realmente sencillos. En los mercados negros (y en el propio internet) existen numerosas opciones para adquirir lo que se conoce como “Phishing Kit”. Estos kits son herramientas que permiten lanzar los ataques con unos pocos clics, campañas, que una vez lanzadas pueden ser monitorizadas y controladas desde el propio programa.

No obstante, a pesar de la relativa facilidad para conseguir uno de estos kits, está demostrado que una gran parte de ellos contienen código malicioso en su interior: “el cazador cazado”. Recordad, estas herramientas están creadas para hacer el mal (a excepción de kits educativos) por lo que la ética de estos vendedores de software no tiene por qué ser la esperada.

Para que un ataque de phishing sea exitoso, son importantes dos cosas.

1. La apariencia de la página fraudulenta debe de ser lo más parecida posible a la página suplantada.
2. El ataque debe permanecer online el mayor tiempo posible.

A fin de asegurar que la página es similar, los kits ya disponen de plantillas realizadas cuidadosamente que clonan los sitios webs más populares. Cuando no están disponibles, los atacantes utilizan programas de clonado y ajustan manualmente los aspectos necesarios. ¡Ojo! Es aquí, cuando se suelen cometer faltas de ortografía y errores tipográficos, que nos sirven para detectar que estamos ante un phishing.

Una vez clonado, es necesario poner la web en internet, para ello, se suelen comprar dominios lo más parecidos al original. Por ejemplo, añadir vocales de manera sutil al nombre de un dominio: facebook.com (original) y faceboook.com (falso). En este caso, a fin de evitar ataques, Facebook también registró este nombre con una vocal adicional.

Ejemplos de phishing: mayor sofisticación

Cuando los atacantes quieren ir más allá, pueden utilizar técnicas como el uso de caracteres especiales.

¿Es posible crear un dominio que se llame www.apple.com y además obtener un certificado TLS? No sería posible, ya que un dominio que existe no puede volver a ser registrado. Pero, ¿y si en lugar de ese dominio, quisiera registrar www.xn--80ak6aa92e.com? Si se podría, ya que el dominio es completamente distinto. No obstante, cuando se representa en el navegador, visualmente parece apple.com.

Dejamos por aquí algunos ejemplos de phishing que puedes recibir por email:

1. Phishing con fallos de seguridad en tu cuenta: el objetivo consiste en llamar la atención sobre un posible fallo de seguridad en la cuenta de la víctima.
2. Phishing con envíos de paquetes a tu domicilio: se trata de suplantar la identidad de empresas de mensajería.
3. Phishing con facturas falsas: solicitando el pago de facturas falsas.

Como hemos visto, muchos ejemplos de phishing incluyen enlaces malintencionados con el objetivo de robar tu información. No hagas "clic" en el enlace.