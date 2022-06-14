Phishing

Cebo

Tailgating

Pretexting

Quid pro quo

Scareware

Ataque de agujero de riego

Phishing

Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software maligno, transfieran dinero o activos a las personas equivocadas o tomen otras medidas perjudiciales.

Los estafadores elaboran mensajes de phishing para que parezcan o suenen como si surgieran de una organización o persona de confianza y creíble, a veces incluso una persona que el destinatario conoce personalmente.

Hay muchos tipos de estafas de phishing:

Los correos electrónicos masivos de phishing se envían a millones de destinatarios a la vez. Parecen ser enviados por una empresa grande y conocida, como un banco nacional o global, un gran minorista en línea, un proveedor popular de pagos en línea, así como hacer una solicitud genérica, como"estamos teniendo problemas para procesar la compra, por favor actualice la información de su método de pago". Con frecuencia, estos mensajes incluyen un enlace maligno que lleva al destinatario a un sitio web falso que captura el nombre de usuario, la contraseña, los datos de la tarjeta de crédito y más.



El phishing focalizado se dirige a una persona específica, generalmente una con acceso privilegiado a la información del usuario, la red informática o los fondos corporativos. Un estafador investigará con frecuencia la información que se encuentra en LinkedIn, Facebook u otras redes sociales para crear un mensaje que parece provenir de alguien que el usuario conoce y en quien confía o que se refiere a situaciones con las que el usuario está familiarizado. El whale phishing es un ataque de phishing focalizado que se dirige a una persona de alto perfil, como un CEO o una figura política. En el business email compromise (BEC), el hacker utiliza las credenciales comprometidas para enviar mensajes de correo electrónico desde la cuenta real de una figura de autoridad, lo que hace que la estafa sea mucho más difícil de detectar.



Voice phishing o vishing es un phishing que se realiza a través de llamadas telefónicas. Las personas suelen experimentar vishing en forma de llamadas grabadas amenazantes que afirman ser del FBI.



El phishing por SMS , o smishing, es phishing por mensaje de texto.



El phishing de motores de búsqueda implica que los hackers creen sitios web malignos con un alto rango en los resultados de búsqueda para los términos de búsqueda populares.



El angler phishing es un phishing que utiliza cuentas falsas de redes sociales que se hacen pasar por las cuentas oficiales de los equipos de atención al cliente de empresas confiables.

Según el IBM Security X-Force Threat Intelligence Index 2023, el phishing es el principal vector de infección de malware, ya que se detecta en el 41 % de todos los incidentes. Según el informe Costo de una filtración de datos 2024, el phishing es el vector de ataque inicial que lleva a las filtraciones de datos más costosas.

Cebo

La carnada atrae (sin juego de palabras) a las víctimas para que, consciente o inconscientemente, proporcionen información confidencial o descarguen un código maligno ya que las tienta con una oferta valiosa o incluso un objeto de valor.

La estafa Príncipe de Nigeria es probablemente el ejemplo más conocido de esta técnica de ingeniería social. Ejemplos más actuales son las descargas gratuitas de juegos, música o programas infectados con malware. Pero algunas formas de provocación apenas son ingeniosas. Por ejemplo, algunos actores de amenazas dejan unidades USB infectadas con malware donde la gente las pueda encontrar, las agarran y las usan porque "oye, una USB gratuita".

Tailgating

En el tailgating, también llamado "piggybacking", una persona no autorizada sigue de cerca a una persona autorizada hasta una zona que contiene información sensible o activos valiosos.

El tailgating se puede realizar en persona, por ejemplo, un actor de amenazas puede seguir a un empleado a través de una puerta desbloqueada. Pero el tailgating también puede ser una táctica digital, como cuando una persona abandona una computadora sin supervisión mientras inicia sesión en una cuenta privada o red.

Pretexting

Como pretexto, el actor de la amenaza crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla.

Muy a menudo (irónicamente) el estafador afirma que la víctima se ha visto afectada por una violación de seguridad y luego se ofrece a arreglar las cosas si la víctima proporciona información importante o controla la computadora o el dispositivo de la víctima. Técnicamente hablando, casi todos los ataques de ingeniería social implican algún pretexto.

Quid pro quo

En una estafa quid pro quo, los hackers ofrecen un bien o servicio deseable a cambio de la información confidencial de la víctima. Las ganancias falsas del concurso o las recompensas de lealtad aparentemente inocentes ("gracias por su pago, tenemos un regalo para usted") son ejemplos de las tácticas quid pro quo.

Scareware

También considerado una forma de malware, el scareware es un software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. Scareware a menudo toma la forma de un aviso falso de aplicación de la ley que acusa al usuario de un delito, o un mensaje falso de soporte técnico que advierte al usuario del malware en su dispositivo.

Ataque de agujero de riego

De la frase "alguien envenenó el pozo", los hackers inyectan código maligno en una página web legítima frecuentada por sus objetivos. Los ataques de pozo son responsables de todo, desde credenciales robadas hasta descargas involuntarias de ransomware.