Phishing y 8 de sus modalidades

Hola amigos, en esta ocación vamos a hablar sobre un tema de seguridad informática bastante delicado, el Phishing. Hablemos primero sobre el término.

Phishing se refiere a la captación de datos personales realizada de manera ilícita o fraudulenta a través de internet. Es una palabra del inglés que se origina de su homófona “fishing”, que significa ‘pesca’, en alusión al objetivo del phishing: pescar datos, ver “quién muerde el anzuelo”.

Ahora que conocemos que significa el término, hablemos sobre los tipos de phishing que los ciber delincuentes realizan

1. Phishing tradicional o Deceptive Phishing, también conocido como Phishing de clonado o de redireccionamiento:

Es la modalidad más común de phishing. El hacker se hace pasar por alguien conocido o por una entidad de confianza de la víctima. El objetivo es conseguir información personal o credenciales de acceso a un determinado sitio. Las dos formas más comunes de llevar a cabo este tipo de ataque son:

a) El usuario recibe un correo electrónico en el que el hacker se hace pasar por la entidad o ente de confianza. Una vez le ha contactado intenta sonsacarle algún tipo de información personal.

b) El usuario recibe un correo electrónico en el que se incluye un enlace que apunta a un sitio malicioso. Puede ser una página clonada cuya URL es prácticamente igual a la del sitio legítimo. Otra opción es que el ciber delincuente haya introducido algún tipo de iframe en una página legítima, aprovechando alguna vulnerabilidad de ésta. En cualquiera de los casos, el objetivo sigue siendo que engañar al usuario.

Phishing

2. Malware-Based Phishing:

Este tipo de ataque se caracteriza por el envío de correos electrónicos en los que se introduce una pieza de malware como archivo adjunto o como un descargable en el sitio web al que apunta el hipervínculo enviado por email y así poder aprovechar las vulnerabilidades del dispositivo del usuario. Este tipo de ataque es dirigido hacia las pequeñas y medianas empresas. ¿El motivo? Por lo general, el software no está siempre actualizado a la última versión y presenta mayores vulnerabilidades.

3. Spear phishing:

Muy parecido al anterior. En esta modalidad, el ataque suele ser mucho más personalizado. En algunos casos se llega incluso a incluir el nombre de la víctima, su posición, la compañía, el teléfono, etc. Además, suelen ir dirigidos a un número reducido de personas con cierto perfil dentro de una empresa (normalmente suele ser el eslabón más débil). El objetivo de este tipo de ataques suele ser más específico. Lo más común es que el vector de ataque utilizado sea el email, pero cada vez más, las redes sociales, están siendo también utilizadas.

4. Smishing (SMS):

Este tipo de phishing, a diferencia de en los casos anteriores, no es realizado por email, sino a través de Mensajes de texto cortos (SMS) en los teléfonos móviles. El delincuente informático suele hacerse pasar por un ente  de confianza y envía un sms informando al usuario de que ha ganado un premio, ofreciéndole participar en un sorteo o para ofrecerle algún tipo de atención/soporte. Para canjearlo, la víctima debe: Hacer clic en un hipervínculo, llamar a un número de teléfono o responder al mensaje

5. Vishing:

El término vishing viene de “Phishing de voz” e implica el uso del teléfono. En este tipo de ataque, o bien el delincuente informático establece centros de atención telefónica o directamente lanza él las llamadas. El delincuente informático se hace pasar por algún proveedor, operadora, un centro de soporte, un banco, etc. con el objetivo de recabar cierta información personal.

Phishing

6. Pharming:

Los cibercriminales manipulan los archivos hosts de una empresa o el sistema de nombres de dominio de la misma. Como resultado, las solicitudes de URL devuelven una dirección falsa y las comunicaciones se dirigen a un sitio web falso. Los usuarios introducen sus credenciales o información confidencial en el mismo, sin saber que está controlado por los cibercriminales.

7. Búsquedas del navegador:

Consiste en posicionar una página falsa por encima de la oficial mediante técnicas de SEO y SEM, para que cuando la víctima realiza una búsqueda, acceda a dicho resultado por error y, creyendo que se trata de la página legítima, introduzca en ella algún tipo de información.

8. Suplantación del CEO:

Consiste en hacerse con los credenciales del CEO o de cualquier otra persona con un cargo relevante dentro de la empresa para así, enviar un email desde su cuenta solicitando algún dato confidencial o la realización de una determinada transferencia/pago.

Ahora concoes 8 modalidades de este ataque, es bastante dificil saber cuando es un ataque y cualdo algo es verdadero, pero te dejo acá un enlace para que entres y puedas practicar como saber si es real o falso un email y fortalecerte y prácticar para no ser víctima de Phishing. Este entrenamiento es hecho por Google. Entrenar

Que es un Hacker Ético

La palabra hacker ha sido tan mal usada en los medios de comunicación que la confundimos con cracker. Incluso la RAE registra en su primera acepción la de “pirata informático”, “persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta”. Eso justo es un cracker, según los expertos en ciberdefensa y del mundo de la seguridad informática.

Un hacker ético es una persona que usa de sus conocimientos avanzados en informática para hacer el bien. Su trabajo o afición (debería ser) es realizar pruebas en redes y sistemas y localizar vulnerabilidades. Una vez detectadas, se informa de ellas para que se tomen medidas y se solucionen.

El daño al sistema o sus usuarios nunca es una opción. Son hackers de sombrero blanco, los ‘buenos’ de la película. Tienen unos conocimientos y buscan sacarles partido haciendo el bien, como la mayoría de profesionales.

Frente a los hackers de sombrero negro, que buscan fallas de seguridad en sistemas a los que no han sido invitados para su enriquecimiento propio, y los de sombrero gris, que tienen su propio código ético pero buscan beneficio (reportar vulnerabilidades frente al CNI, FBI, Interpol, etc.), los de sombrero blanco buscan hacer más segura la red y los sistemas.

Un poco de Historia

Los programadores del MIT se hacían llamar asimismo «Hacker» como una forma de identificar su capacidad de hacer programas mejores y más eficaces, de una forma distinta a como se acostumbraba en ese entonces, siendo este el momento donde se relacionaba por primera vez la palabra «hacker» con el mundo de la informática.

Es así como el término «Hacker» se empezó a utilizar para describir «a toda persona que manipula o que posee conocimientos prácticos que modifican los usos de las cosas de modo que éstas puedan emplearse para fines no previstos en su origen» (Según Wikipedia).  Considero que ésta es la definición más apropiada, ya que la figura de «hacker» no está únicamente asociada al área de sistemas, informática o telecomunicaciones; también abarca cualquier área del quehacer humano, considerándose así «hacker» como una capacidad de reinventar una profesión o actividad, más que una profesión independiente.

La Real Academia Española (RAE) en el año 2014 incluyó por primer vez en el diccionario la palabra «Hacker», la cual definió como «Pirata Informático», describiéndolo como una «Persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta«, esta definición no sorprende en nada, ya que es la continuación de una tendencia errada en criminalizar el término «Hacker».

Luego a finales del año 2017, la RAE decide agregar otro significado, ésta vez totalmente distinto al inicial, destacándolo como una “Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora”. Lo que motivó a la RAE a tomar esta decisión, fueron las observaciones y reclamos de la comunidad internacional de la seguridad informática, al ver como se criminalizaba un término que nada tiene que ver con actividades ciberdelictivas o ciberataques.

White Hat Hacker o Hacker Éticos.

Es todo lo contrario al Ciberdelincuente, es la antítesis del Black Hat Hacker. Su objetivo es mejorar los sistemas informáticos, identificando y corrigiendo vulnerabilidades o fallos de los mismos, con el fin de proteger el activo de la información dentro de una organización.

Su ética profesional radica, en que deben actuar previo acuerdo contractual con la empresa y organización dueña del sistema de información. Son también conocidos como Profesionales de la Ciberseguridad.

Atacar sistemas sin permiso

Con mucha frecuencia los hackers éticos no piden permiso a la hora de entrar a un sistema. Simplemente lo hacen y, cuando lo consiguen, avisan al responsable.

Los hackers éticos que están un paso adelante de los hackers maliciosos deben ser expertos en sistemas informáticos, con amplios conocimientos acerca de programación, redes y sistemas operativos.

Otro requisito es tener un conocimiento profundo sobre plataformas muy concretas (como Windows, Unix, Linux).

Paciencia, persistencia y una gran perseverancia son cualidades importantes que los hacker éticos requieren debido a cantidad de tiempo y nivel de concentración requerido para que la mayoría de los ataques den resultados. Conocimiento en redes, programación web y bases de datos son todos útiles en el trabajo del hacking ético y durante las pruebas de vulnerabilidad.

La mayoría de los hackers éticos son conocedores acerca de las áreas de seguridad y temas relacionados, pero no necesariamente tienen un gran dominio de las contramedidas que pueden prevenir ataques.

Ahora que conoces que es un hacker ético puedes solicitar sus servicios para proteger la red y sistemas de tu negocio.