Allotgeu-vos d’aquests 6 atacs populars de pesca

Les estafes existeixen durant molt, molt de temps. Estafes digitals, des dels primers dies de la comunicació digital.


Poc després de la invenció del correu electrònic, van aparèixer estafes per correu electrònic. Aleshores, tots confiàvem en els correus electrònics, de manera que ningú creia que podrien convertir-se en un vector d’estafa. I va resultar ser molt efectiu. A partir del 2004, els atacs de phishing contra clients de banca electrònica van augmentar exponencialment. Els clients de banca electrònica van rebre correus electrònics amb enllaços que els condueixen a llocs web falsos amb un aspecte molt real i professional. Les víctimes van caure a la trampa, escrivint tots els seus números de compte i contrasenyes i els van lliurar als atacants en plats de plata. Les pèrdues causades per aquest tipus d’atac van ser de total 929 milions de dòlars entre el maig del 2004 i el maig del 2005.

Després de les primeres campanyes massives de phishing de correu electrònic, els sistemes de correu electrònic van començar a afegir filtres intel·ligents per a missatges no desitjats i maliciosos, i es va reduir l’èxit de les tàctiques bàsiques de phishing de correu electrònic. Però no va desaparèixer. De fet, van sorgir tàctiques més sofisticades, juntament amb altres formes de phishing, com ara el phishing de missatgeria, el phishing de veu i moltes altres. Tots ells exploten l’enllaç més feble de la cadena de ciberseguretat: l’usuari final. Per tant, qualsevol iniciativa anti-phishing hauria de començar fent que l’usuari sigui conscient de les tàctiques que utilitzen els phishing. Per tant, anem a revisar-los.

Phishing de correu electrònic i més enllà

Els filtres de seguretat es detecten fàcilment els missatges de correu electrònic amb fitxers adjunts o enllaços sospitosos, de manera que els filtres necessiten dissenyar un nou tipus d’atac de correu electrònic. Es van presentar atacs de compromís de correu electrònic empresarial (BEC), basats en missatges sense contingut maliciós, sense enllaços i sense fitxers adjunts, només un simple missatge d’algú que coneixeu del vostre entorn laboral..

Per dur a terme aquest tipus d’atac objectiu, els autors necessiten informació sobre la víctima i la persona que pretenen ser per tal de mantenir un diàleg fluït. Després dels primers missatges, l’atacant demanarà informació sensible o enviarà a la seva víctima un fitxer o document amb contingut maliciós.

Spofing de llocs web

En general, l’atonia està relacionada amb tot tipus d’intents de pesca, ja que sempre hi ha algú o alguna cosa que pretenia ser algú o una altra cosa. En particular, la difusió del lloc web consisteix en fer que la pàgina web tingui un aspecte legítim. Un lloc web malmesu s’assembla a la pàgina d’inici de sessió d’un lloc real, no només imita l’aspecte general, sinó que també utilitza un nom de domini similar (com comentem a continuació).

Normalment, aquests llocs falsos necessiten altres tipus de pesca (correu electrònic, missatgeria, SMS, etc.) per conduir la víctima cap a ells. Una vegada que la víctima intenta iniciar la sessió al lloc no afectat, les seves dades sensibles cauen en mans de l’atacant.

Un tipus d’atac relacionat amb la propagació de llocs web és un atac homògraf. Aquest tipus d’atac aprofita els nous estàndards d’internet que permeten l’ús de lletres que no siguin ASCII als URL. Com que diferents idiomes contenen caràcters diferents (encara que molt similars), els atacants poden utilitzar aquests caràcters per registrar noms de domini que s’assemblen molt a les adreces web existents. I aquests noms de domini estan enllaçats amb llocs web esporàdics.

Per exemple, un reemplaçament bàsic de caràcters usat per a atacs homògrafs consisteix en substituir lletres “o” per “0” (zero). Les tècniques més complexes utilitzen caràcters codificats de manera diferent que semblen iguals, com les lletres “a,” c “i” p “en llatí i cirílic. Un truc lleugerament més sofisticat aprofita la semblança entre la barra ASCII (“/”) i l’operador de divisió matemàtica (“∕”). Amb aquest truc, qualsevol podria pensar que aquestes adreces són les mateixes:

somewebsite.com∕folder.com/

somewebsite.com/folder.com/

En aquest cas, el nom de domini no afectat és somewebsite.com∕folder.com, i el real és somewebsite.com.

Exteriorització dels filtres

Si un filtre de correu electrònic veu que un missatge és suposadament enviat per una empresa molt coneguda com Microsoft (per exemple), però l’adreça font és diferent de Microsoft, marcarà el missatge com a maliciós. Però si la paraula “Microsoft” no apareix en cap part del missatge, el filtre el deixarà passar.

Els atacants poden enganyar els filtres de correu electrònic mitjançant la inserció de text ocult en el nom d’una empresa, de manera que qualsevol lector humà cregui que prové d’aquesta empresa, tot i que el filtre de correu electrònic no ho farà. Un altre truc similar consisteix a emplenar un missatge amb text blanc sobre fons blanc, il·legible als humans, però no als escàners de correu electrònic, que es deixen enganyar per creure que el missatge prové d’una font de confiança.

Robatori d’identitat i phishing de mitjans socials

Milions d’usuaris de xarxes socials tenen perfils públics, exposen fotos, informació personal i una llista de contactes, només perquè volen tenir molts amics en línia. Si aquest és el vostre cas, serà fàcil per a un atacant robar-vos algunes de les vostres fotos i dades, crear un perfil fals i començar a xerrar amb els vostres amics, fingint ser vosaltres i demanar-los qualsevol cosa al vostre nom..

Els números de telèfon i les combinacions de noms també són vectors de pesca, especialment per a les estafes de WhatsApp (més informació a continuació). Qualsevol persona que conegui el vostre nom i número de telèfon us podria contactar mitjançant WhatsApp amb un missatge convincent per enganyar-vos a fer alguna cosa, com, per exemple, entrar a un lloc web malintencionat disfressat de vídeo de YouTube que “cal veure”

Riscos de WhatsApp

Hi ha moltes estafes de WhatsApp tan populars com la mateixa aplicació. Però tot i així, molts usuaris de WhatsApp no ​​són conscients de les estafes i s’hi estan acaparant. WhatsApp Gold és una estafa popular que ofereix als usuaris passar a una versió “Gold” de l’aplicació amb funcions especials. Evidentment, no existeix aquesta versió i el que obteniu si seguiu les instruccions dels phisher és un dispositiu infectat amb programari maliciós.

Una altra estafa popular és una sol·licitud de pagament per mantenir el vostre compte actiu. Aquest truc és gairebé tan antic com l’aplicació en si, però els usuaris desconeixuts encara podrien fallar-hi. Tingueu sempre en compte que no hi ha cap compte de WhatsApp per mantenir-lo actiu i, per tant, no cal pagar res per que la vostra aplicació de missatgeria funcioni.

Caça i caça de bales

Quan un intent de phishing està altament orientat –adreçat a persones, organitzacions o empreses específiques– s’anomena phishing de llança. Generalment es fa a través de missatges de correu electrònic o sistemes de comunicacions privats, utilitzant comptes compromesos. El FBI va advertir de les estafes de phishing de llança que involucraven missatges de correu electrònic presumptament del Centre Nacional per a Nens desapareguts i explotats.

https://biztechmagazine.com/

Sovint aquests atacs són llançats per hackers i activistes informàtics patrocinats pel govern. Els ciberdelinqüents utilitzen enfocaments dissenyats individualment i tècniques d’enginyeria social per personalitzar eficaçment missatges i llocs web. Com a resultat, les víctimes acaben obrint missatges que consideren segurs. D’aquesta manera, els ciberdelinqüents roben les dades que necessiten per atacar a les xarxes de víctimes.

La caça de balenes és un tipus especial de pesca amb llança que s’adreça a executius d’alt nivell –el “gran peix”. Aquests atacs estan dirigits a consellers delegats, CFO i altres executius responsables de la gestió de les finances i informació crucial de les corporacions. Amb objectius tan estrets, els missatges d’esquer han de ser dissenyats de manera intel·ligent per tenir un aspecte creïble i fiable. Típicament, els atacants utilitzen informació recopilada en comptes de xarxes socials no privades de les víctimes.

Contra-mesures

Quan necessiteu reforçar una cadena, primer heu de buscar l’enllaç més feble i reforçar-la. Així, en la cadena de ciberseguretat, primer, heu de reforçar l’usuari amb consciència i coneixement sobre els riscos i la seva mitigació. A continuació, es mostren alguns consells que tothom hauria de posar en pràctica:

# Sigueu prudents amb totes les comunicacions

Qualsevol enllaç o fitxer adjunt, ja sigui per correu electrònic, missatge WhatsApp, servei de missatgeria, SMS o fins i tot a través d’un dispositiu físic (un Pendrive, per exemple), és potencialment perillós. No importa si esteu segurs que coneixeu l’emissor i que és fiable. Abans d’obrir-lo o fer-hi clic, comproveu-ho dues vegades a través d’un mitjà alternatiu, tal com s’explica a continuació.

Els missatges de phishing més comuns pretenen provenir d’una font coneguda, com ara un banc, una empresa de serveis financers o un servei basat en subscripcions i us diuen que renoveu les vostres credencials o la vostra subscripció. El primer que us heu de preguntar és: Sóc client d’aquesta empresa? Si no és així, simplement rebutja el missatge o, millor dit, envia’l a la policia.

A més, no respongueu missatges sospitosos de fonts desconegudes. Per exemple, podeu tenir la temptació de preguntar: “Qui ets?” quan rebeu un missatge intrigant d’un número desconegut mitjançant WhatsApp. Només de fer aquesta pregunta, expliqueu als fumadors que el vostre nombre està actiu i que algú l’utilitza, i que podrien seguir atacs de pesca més orientats.

# Comprovació doble mitjançant un mitjà alternatiu

Els Phisher no poden controlar tots els suports de comunicació. Aquesta és una debilitat que podem utilitzar contra ells, utilitzant diferents suports per comprovar doble qualsevol missatge sospitós. Per exemple, si rebeu un correu electrònic d’un company de feina que us demana que feu clic en un enllaç, truqueu per telèfon i pregunteu què és aquest enllaç i per què hauríeu de fer clic sobre ell.

# Denunciau les pines a les autoritats

Sempre que confirmeu que un missatge rebut correspon a un intent de pesca, heu d’informar-lo a la FTC a ftc.gov/complaint. Si es tracta d’un correu electrònic, el podeu reenviar [correu electrònic protegit] i [correu electrònic protegit] Si vau caure en una estafa i creieu que les vostres dades privades poden estar compromeses, visiteu IdentityTheft.gov. Trobareu instruccions detallades segons la informació robada.

Per últim, però no per això menys important: protegir-se

Per protegir-se dels atacs de pesca, heu de prendre les mateixes precaucions que per protegir-vos de qualsevol altra amenaça del món digital: mantingueu els dispositius actualitzats, preferiblement amb actualització automàtica; utilitzeu les darreres versions d’utilitats antivirus i seguretat contrastades; configurar correctament els filtres de correu electrònic; fer còpies de seguretat de les vostres dades; canvia les contrasenyes periòdicament; aprendre a diferenciar les advertències legítimes de les falses i llegir atentament les advertències reals.

I, en general, mantingueu-vos informats i comproveu dos cops tots els avisos de seguretat que rebeu dels vostres amics perquè la majoria de vegades són falses alarmes, dissenyades amb l’únic propòsit d’augmentar la confusió general i facilitar que es rebutgin les alarmes veritables..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map