Cómo funciona un phishing
El phishing es una de las amenazas más sencillas técnicamente que existen, pero aún así, puede llegar a ser igual de efectivo que amenazas más complejas.
Un phishing es un ataque de ingeniería social que simula ser una empresa u organismo (generalmente una entidad financiera) para robar datos personales.
Generalmente, la identidad usurpada es de una entidad financiera, aunque también es normal encontrar ataques de phishing a cualquier entidad que pudiera estar relacionada con alguna actividad económica (subastas y pagos online, la Agencia Tributaria, Correos y Telégrafos, el Banco de España, etc.) o también puede estar orientada al robo de información personal (redes sociales).
En cada incidente de phishing, habitualmente se envían hasta millones de correos electrónicos a direcciones de correo electrónico que han podido ser obtenidas de diferentes maneras, por lo que no es un ataque dirigido. La probabilidad de recibir un correo de phishing es igual a la probabilidad de que tu dirección de correo electrónico haya sido capturada en algún foro, cadena de correos, web u ordenador infectado.
Aunque la forma más común de recibir un phishing es mediante el correo electrónico, también existe phishing mediante otros medios, como puede ser SMS en los teléfonos móviles, llamadas por teléfono o incluso llamadas por voz sobre IP (VoIP).
Una vez que se envían los millones de correos electrónicos suplantando a una entidad financiera (recomendamos repasar el tema del código malicioso donde comentamos que son los propios ordenadores infectados los que mandan estos correos de phishing), es necesario disponer de alguna infraestructura web en Internet que aloje la página falsa que será la que nos pida nuestros datos. En el cuerpo del correo se utilizará algún tipo de excusa para provocar que el usuario pulse en el enlace (motivos de seguridad, alguien ha accedido a su cuenta y tenemos que comprobar que todo está bien, puede ganar un premio, etc.), y al pinchar será redirigido a esta página web falsa.
Estas páginas web falsas están alojadas generalmente en servidores totalmente normales, pero que, por algún fallo de seguridad que tienen, han sido comprometidos y los estafadores han podido alojar dichas páginas falsas en sus servidores. Estos servidores pueden ser páginas web personales, de empresas o, incluso, de organismos oficiales.
Existe otra opción a la hora de alojar las páginas falsas que se denomina alojamiento “a prueba de balas”. En este caso, el propio proveedor de páginas web suele tener algo que ver con los atacantes y proporciona alojamiento para sus negocios ilegales.
Una vez que el usuario se conecta a una de estas páginas falsas e introduce los datos que le piden, se guardan estos datos para poder realizar el fraude. Generalmente, los datos que se piden son los accesos a la banca online, pero también es posible que se pidan datos como el número de la tarjeta de crédito y su fecha de caducidad para poder realizar compras online.
Tanto las entidades financieras como los navegadores, disponen de sistemas de seguridad para buscar todas las páginas falsas que estén en Internet y erradicarlas tan pronto como sea posible. De hecho, es probable que si alguna vez intenta acceder sin querer a alguna de ellas, el propio navegador le avisará de que está accediendo a un sitio fraudulento.
Los datos que se roban no se suelen utilizar de forma inmediata, con lo que si después de meter los datos nos damos cuenta de que era una página de phishing, tenemos que cambiar nuestras contraseñas o dar de baja nuestras tarjetas para que no puedan ser usadas lo antes posible.
Los atacantes, según van recopilando todos los datos de acceso a la banca online, dependiendo de la campaña en la que estén inmersos, utilizarán esas credenciales para realizar una o varias transferencias a las mulas (que hemos comentado anteriormente) y así poder sacar el dinero de la entidad financiera.
Como hemos visto, un ataque de phishing es bastante sencillo de ejecutar, pero a la vez, muy fácil de detectar, puesto que hay que desconfiar de cualquier petición de entrega de nuestras claves de acceso a cualquier sitio web, ya venga la petición por correo electrónico, SMS, o incluso si alguien nos llama por teléfono solicitando las mismas.