En este blog, hemos comentado varías noticias acerca del phising, y los peligros que trae consigo. En esta ocasión conoceremos de dónde viene este término y un pocod e contexto acerca de su evolución con los años.
El primer ataque de phishing conocido contra sitios web de comercio electrónico comenzó con el sitio web de E-Gold en junio de 2001. En 2003, los hackers registraron varios dominios nuevos que parecían nombres de sitios populares como eBay y PayPal. A continuación, utilizando un programa gusano ilícito, enviaron correos electrónicos falsos a clientes de eBay y PayPal. Los clientes que caían presa de estos correos electrónicos de phishing eran engañados para que facilitaran los datos de sus tarjetas de crédito y otra información personal.
A principios de 2004, el phishing se convirtió en un negocio rentable y los hackers empezaron a atacar a bancos, empresas y sus clientes. Una de las principales armas utilizadas por los piratas informáticos en aquella época era el uso de ventanas emergentes para recopilar información confidencial de usuarios desprevenidos. A partir de entonces, los hackers empezaron a idear diversas técnicas, como spear phishing, vishing, smishing, keylogging, inyección de contenidos, etc.
La idea del phishing es sencilla. Los delincuentes se aprovechan de los puntos débiles del software y la seguridad de la red de los empleados y la organización. Crean correos electrónicos falsos en los que afirman que su cuenta ha sido suspendida y les piden que inicien sesión para reactivarla y obtener sus nombres de usuario y contraseñas.
Aunque muchos puedan pensar lo contrario, los ataques de phishing están inteligentemente planeados y meticulosamente ejecutados. Los adversarios llevan a cabo el proceso por etapas, que incluyen la planificación, la configuración, el asalto, la recopilación y el robo de identidad. Tras el éxito de un ataque, los ciberdelincuentes evalúan los éxitos y fracasos del mismo. A continuación, deciden si coordinan otra estafa.
Los usuarios empiezan a darse cuenta de la estafa sólo cuando su cuenta está bloqueada, o después de que los adversarios vacíen el dinero de su cuenta bancaria.
Además como hemos mencionado anteriormente, existen distintos tipos de phising:
La mayoría de las veces, los objetivos son personas con altos cargos, como directores generales, gerentes, etc., para obtener enormes recompensas. Esta forma de ataque se conoce como whaling.
Spear Phishing es otra técnica de phishing en la que se ataca a una persona. Antes de enviar correos electrónicos de spear-phishing, los hackers estudian el comportamiento de estas personas mediante ataques de malware e idean correos electrónicos que parezcan más personalizados. Este tipo de correos electrónicos altamente personalizados hace que sea mucho más fácil para los hackers atraer a la víctima.
El vishing es otra forma de phishing en la que se engaña a las víctimas para que revelen la información de su cuenta bancaria. Para ello, los piratas informáticos llaman a las víctimas por teléfono.
El smishing es un método de phishing en el que los usuarios reciben mensajes de texto con enlaces maliciosos. Al hacer clic en el enlace, el usuario accede a un sitio web de phishing donde se le pide que revele información personal.
El vishing es otra forma de phishing en la que se engaña a las víctimas para que revelen la información de su cuenta bancaria. Para ello, los piratas informáticos llaman a las víctimas por teléfono.
El smishing es un método de phishing en el que los usuarios reciben mensajes de texto con enlaces maliciosos. Al hacer clic en el enlace, el usuario accede a un sitio web de phishing donde se le pide que revele información personal.
Por último, la principal razón por la que los ataques de phishing van en aumento es el desconocimiento de las tácticas y técnicas de los hackers. Cada día, cientos de usuarios desprevenidos pierden su información personal, datos bancarios e información de la seguridad social. A menos que la gente empiece a educarse sobre el phishing y a tratar cada correo electrónico como un correo de phishing, los hackers seguirán eludiendo las garras de la ley y cosechando sustanciosos beneficios monetarios.
