El phishing es un ataque social, directamente relacionado con la ingeniería social. Los delincuentes suelen centrarse en el correo electrónico y utilizan el phishing para obtener acceso o información. Los ataques de phishing pueden ser básicos o personalizados hacia la víctima y su organización.

Un ataque de phishing con un enfoque dirigido se llama spear phishing. Si, por ejemplo, el delincuente se dirigiera a un grupo o a una persona de una empresa, utilizaría el spear phishing para que el correo electrónico pareciera legítimo. Normalmente, esto se hace utilizando el nombre y el cargo correctos de la víctima, haciendo referencia a proyectos legítimos, a compañeros de trabajo conocidos o falsificando un correo electrónico de un alto ejecutivo.

Vishing es el término que se da al phishing por teléfono. Los mismos objetivos, los mismos desencadenantes emocionales, sólo que en lugar del correo electrónico el delincuente llama directamente a la víctima. Entre los ejemplos de ataques de vishing más comunes se encuentran las estafas de Hacienda y las de soporte técnico. En ambos casos, los delincuentes esperan obtener información personal y dinero.

Independientemente del tipo de ataque de phishing que se lance, el objetivo es conseguir que la víctima haga algo, como revelar nombres de usuario y contraseñas o compartir documentos y otros detalles sensibles.

Los ataques de phishing suelen hacer hincapié en la urgencia o jugar con la voluntad de ayuda de la persona. Los ataques de phishing también pueden evocar una sensación de miedo, al advertir de graves consecuencias. A veces se ve como una amenaza de suspensión de servicios, la pérdida de datos críticos o diversas consecuencias personales. Sin embargo, la observación más común es que los ataques de phishing comienza provocando el sentido de curiosidad de la víctima. Esta es la razón por la que la víctima abre el correo electrónico para empezar.

¿Qué es un kit de phishing?

Un kit de phishing es el componente web, o el back-end de un ataque de phishing. Es el paso final en la mayoría de los casos, en los que el delincuente ha replicado una marca u organización conocida. Una vez cargado, el kit está diseñado para reflejar sitios web legítimos, como los mantenidos por Microsoft, Apple o Google.

El objetivo es atraer a la víctima lo suficiente como para que comparta sus datos de acceso y otros datos sensibles, que variarán en función de la estafa de phishing. Desarrollados con una mezcla de HTML básico y PHP, la mayoría de los kits de phishing se almacenan en un servidor o sitio web comprometido, y normalmente sólo viven durante unas 36 horas antes de ser detectados y eliminados.

Si se cuenta con las detecciones y la seguridad adecuadas, los administradores suelen poder bloquear los intentos de phishing a medida que llegan al servidor de correo y detectar los kits en cuanto se cargan. Esta es la excepción y no la regla. Los delincuentes registran miles de dominios nuevos, y en cuanto uno es marcado, otro ocupa su lugar.

Otra desventaja es que los delincuentes están muy familiarizados con las técnicas básicas de detección de phishing y desarrollan sus scripts de forma que ayuden a ocultar el kit al público. En el extremo posterior (el servidor web), sus kits parecen sitios web normales y, normalmente, como el host comprometido tiene una reputación neutral o buena, pueden evitar la detección pasiva.

-IDG.es