Los engaños por Internet están a la orden del día desde que surgió internet hace muchos años. Algunas de las campañas de phishing cómo recibir el email que te diga que has ganado un robot de cocina de Lidl, así como un ataque que llega a los clientes de ING a través de un SMS o un email, una estafa vía SMS que llega a todos los móviles españoles donde se hacen pasar por una compañía mensajera de FedEx así como un email en nombre de la compañía DHL con la recepción de un envío.
Son tipos de Phishing y estafas que ocurren a diario, y con las que hay que tener mucho cuidado con un único objetivo, no abrirlas ni prestarle atención.
6Tipos de phishing
Para saber reconocer este ataque, es importante conocer los tipos que tiene. Los más habituales son:
Deceptive phishing: el más habitual de todos. Para su práctica, el atacante envía un mensaje de correo electrónico al usuario en donde se hace pasar por una compañía o entidad. Si lo envía a través de un SMS la estafa se conoce como Smishing y en donde solicitar cualquier tipo de información personal a través de un enlace malicioso donde se solicitan los datos de inicio de sesión a cuenta, o bancarios. En los ataques más trabajados, se incluye el logo de la empresa o cualquier nombre de la web que sea muy parecido a la página web real. Dentro, se solicita al usuario ante cualquier excusa que introduzca la información personal para que el atacante la use posteriormente. Las empresas suplantadas a menudo son FedEx, DHL o ING como más comunes.
Phishing basado en malware: el usuario recibe un correo electrónico donde el atacante se hace pasar por una marca conocida y en donde también introduce un documento adjunto malicioso que al acceder a él va a infectar el dispositivo de la víctima. Una práctica muy habitual de este tipo de phishing es un mensaje haciéndose pasar por una empresa de servicio y en donde adjunta un documento PDF en forma de factura para que lo descargues y accedas. Al abrirlo el archivo infecta al dispositivo. En 2021 ya se ha empezado a practicar un ataque en donde se suplanta a correos para infectar a través del malware.
Vishing: el término surge entre la combinación entre voice (voz) y phishing. No suele ser muy habitual ya que necesita una gran elaboración para conseguir el engaño. Consiste en un ataque a los usuarios a través de llamadas telefónicas. El atacante llama por teléfono y se hace pasar por un trabajador técnico o una organización para pedirle al usuario que le dé datos bancarios bajo cualquier excusa o alguna aportación económica. Al igual que ocurre con el phishing, el vishing puede darse también de varias formas como haber ganado un sorteo, recibir soporte técnico o recoger un cheque regalo.
SEO Phishing: esta forma de estafa utiliza técnicas de posicionamiento SEO en el buscador de un navegador. De esta forma los atacantes sitúan sus páginas web engañosas entre los primeros resultados del buscador. Por lo que cuando un usuario va a buscar cualquier tipo de información sobre su banco, entre las primeras opciones aparezca la página web malicioso y el usuario crea que es la página oficial de su banco. Una vez la víctima accede con sus datos bancarios o realiza compras, el atacante recopila todos los datos para robarlos.
