Phishing ejemplos
El phishing es una técnica de engaño en línea que consiste en enviar mensajes falsos que pretenden ser de una entidad legítima, como un banco, una empresa o una administración pública, con el fin de obtener información privada o confidencial de los usuarios, como contraseñas, números de tarjeta, datos fiscales o personales, etc.
Aquí encontrarás la definición de phishing: qué es phishing.
Lamentablemente, hay muchos casos de phishing, por lo que es una amenaza real y creciente que afecta tanto a los usuarios individuales como a las organizaciones y a la sociedad en general.
El phishing puede realizarse a través de diferentes medios, como correos electrónicos, redes sociales, mensajes de texto, llamadas telefónicas, etc., y puede tener diversos fines, como el robo de identidad, el fraude financiero, el espionaje, el sabotaje, el activismo o el terrorismo.
Por eso, es muy importante saber cómo reconocer y evitar los casos de phishing que se pueden encontrar en internet. A continuación, te ofrecemos algunos ejemplos de phishing que se realizan a través de diferentes medios, así como algunos consejos y recomendaciones para protegerte de ellos.
Ejemplos de phishing en correos electrónicos
Los correos electrónicos son el medio más utilizado para realizar ataques de phishing, ya que permiten llegar a un gran número de usuarios de forma rápida y sencilla. A continuación podemos ver varios ejemplos de situaciones de phishing que se podrían dar en la vida real:
- Correos electrónicos que se hacen pasar por una entidad bancaria, que informan de un problema con la cuenta del usuario, como un bloqueo, una suspensión, una transacción sospechosa, etc., y que piden que se verifiquen o actualicen los datos personales o financieros, o que se acceda a un enlace o se descargue un archivo adjunto. Estos correos electrónicos suelen usar logos, colores o diseños que imitan a los de la entidad bancaria real, pero que tienen pequeñas diferencias o errores que los delatan.
- Correos electrónicos que se hacen pasar por una empresa de comercio electrónico, que informan de un pedido, una entrega, una devolución, una factura, un reembolso, etc., y que piden que se acceda a un enlace o se descargue un archivo adjunto. Estos correos electrónicos suelen usar nombres, imágenes o referencias de productos o servicios que el usuario ha comprado o consultado recientemente, para hacer el mensaje más creíble y atractivo.
- Correos electrónicos que se hacen pasar por una administración pública, que informan de un trámite, una notificación, una multa, una cita, una subvención, etc., y que piden que se acceda a un enlace o se descargue un archivo adjunto. Estos correos electrónicos suelen usar logos, sellos o firmas que imitan a los de la administración pública real, pero que tienen pequeñas diferencias o errores que los delatan.
Estos son solo algunos ejemplos de phishing en correos electrónicos, pero hay muchos más y cada vez más sofisticados, sobre todo con el desarrollo de las tecnologías emergentes, como la inteligencia artificial, el internet de las cosas o la realidad aumentada, que pueden facilitar la creación y difusión de contenidos falsos o manipulados.
Aprende a evitar estos correos aquí: como dejar de recibir correos phishing.
El peligro de las redes sociales: ejemplos de phishing en las redes sociales
Las redes sociales son otro medio muy utilizado para realizar ataques de phishing, ya que permiten acceder a un gran número de usuarios de forma rápida y sencilla, aprovechando el uso de aplicaciones, mensajes, publicaciones, comentarios, etc.
Algunos ejemplos de phishing en redes sociales son:
- Mensajes que se hacen pasar por un amigo, un familiar o un conocido, que solicitan ayuda, dinero, información o una acción, como enviar un código, hacer una llamada, acceder a un enlace o descargar un archivo adjunto. Estos mensajes suelen usar perfiles falsos o suplantados que imitan a los de la persona real, pero que tienen pequeñas diferencias o errores que los delatan.
- Mensajes que se hacen pasar por una red social, que informan de un problema con la cuenta del usuario, como un bloqueo, una suspensión, una actividad sospechosa, etc., y que piden que se verifiquen o actualicen los datos personales o de acceso, o que se acceda a un enlace o se descargue un archivo adjunto. Estos mensajes suelen usar logos, colores o diseños que imitan a los de la red social real, pero que tienen pequeñas diferencias o errores que los delatan.
- Publicaciones que se hacen pasar por una marca, una empresa o una organización, que ofrecen un producto, un servicio, un sorteo, una encuesta, una donación, etc., y que piden que se acceda a un enlace o se descargue un archivo adjunto. Estas publicaciones suelen usar nombres, imágenes o referencias que imitan a los de la marca, la empresa o la organización real, pero que tienen pequeñas diferencias o errores que los delatan.
Estos son solo algunos ejemplos de phishing en redes sociales, pero hay muchos más y cada vez más sofisticados, sobre todo con el desarrollo de las tecnologías emergentes, como la inteligencia artificial, el internet de las cosas o la realidad aumentada, que pueden facilitar la creación y difusión de contenidos falsos o manipulados.
Conoce las consecuencias de robo de phishing.
Phishing a través de SMS
Los mensajes de texto o SMS son otro medio muy utilizado para realizar ataques de phishing, ya que permiten llegar a un gran número de usuarios de forma rápida y sencilla, aprovechando el uso de teléfonos móviles, que suelen estar siempre encendidos y conectados.
Un ejemplo de este tipo de phishing, podría ser el phisher que se hace pasar por Correos, el servicio postal de España, y que informa al usuario de que tiene un paquete pendiente de entrega, y que debe pagar una pequeña cantidad para recibirlo. El SMS incluye un enlace que redirige a una página web falsa que imita la de Correos, y que solicita al usuario que introduzca sus datos personales y bancarios para realizar el pago.
Este es el texto del SMS:
Correos: Su paquete está pendiente de entrega. Por favor, confirme el pago (1,99 EUR) en: bit.ly/3kYxhZ9
Uno de los objetivos de los phishers: la Agencia Estatal de Administración Tributaria (AEAT)
Debido a su relevancia y a la cantidad de información que maneja, la AEAT es uno de los objetivos más frecuentes de los ataques de phishing, que buscan obtener datos fiscales o personales de los contribuyentes, o hacerles pagar cantidades indebidas o falsas.
Los ataques de phishing que suplanta a la AEAT suelen realizarse por medio de correos electrónicos o SMS falsos que imitan la imagen y el lenguaje de la entidad, y que informan de supuestos reembolsos o devoluciones de impuestos, mediante los cuales se solicita al usuario que acceda a un enlace o descargue un archivo adjunto, donde se le pedirá que introduzca sus datos bancarios o personales, o que realice un pago.
Estos ataques suelen aprovechar las fechas clave del calendario fiscal, como la campaña de la renta, el IVA, el IRPF, etc., para generar una mayor confianza y urgencia en el usuario, y para aumentar las posibilidades de éxito. Sin embargo, también pueden producirse en cualquier momento del año, aprovechando la situación económica, social o sanitaria del momento, como la crisis del COVID-19, para ofrecer ayudas, bonificaciones, moratorias, etc., que en realidad son falsas.
Phishers disfrazados de CEOs: el fraude del CEO
Como hemos visto, hay varios escenarios de ataques de phishing, el fraude del CEO es una modalidad de phishing dirigida a un objetivo específico, en el que los atacantes se hacen pasar por el director general (CEO) de una empresa, o por otro ejecutivo de alto nivel, y envían un correo electrónico a un empleado de la misma empresa, solicitando que realice una transferencia de dinero urgente o que proporcione información confidencial.
El objetivo de este tipo de fraude es aprovechar la confianza, la autoridad y la jerarquía que existe entre el empleado y el supuesto CEO, para conseguir que el empleado cumpla con la petición sin cuestionar ni verificarla. Los atacantes suelen realizar una investigación previa de la empresa y de sus empleados, utilizando fuentes públicas o privadas, como redes sociales, bases de datos, sitios web, etc., para obtener información que les permita personalizar el mensaje y hacerlo más creíble.
El fraude del CEO es un tipo de ataque que tiene una tasa de éxito alta, ya que los empleados pueden confundir los correos electrónicos falsos con los legítimos, al estar bien redactados, tener un remitente conocido o familiar, o contener información relevante o veraz. Además, los atacantes suelen usar técnicas de ingeniería social, como el aprovechamiento de la confianza, la autoridad, la urgencia o la curiosidad, para manipular al empleado y conseguir que haga lo que ellos quieren.
El fraude del CEO puede tener graves consecuencias para las empresas, como la pérdida económica, el daño reputacional, la vulneración de la seguridad, la interrupción del negocio o la responsabilidad legal. Varias empresas han perdido millones a causa de este tipo de fraude, que también se conoce como whaling, en referencia a la caza de ballenas, que son los peces más grandes y codiciados del mar.
Aprende técnicas para evitar el phishing: como evitar el phishing.
¿Necesitas servicios para detectar las vulnerabilidades en tu sistema y prevenir los ciberataques?
En Seifti contamos con servicio de Pentesting con el que identificar las áreas menos protegidas de tu compañía sin dejar que las vulnerabilidades pasen desapercibidas.
Además, contamos con servicios de consultoría de privacidad para identificar las formas en que los piratas informáticos podrían usar para obtener acceso a su corporación a través de nuestros servicios de prueba de phishing.
No Comments