Como ya vimos en una entrada anterior, el phishing es uno de los ciberataques más utilizados. Existen muchos tipos de phishing pero todos se basan en la suplantación de la identidad de una persona o empresa con el fin de obtener cierta información.

A continuación os vamos a hablar de los 8 tipos de phishing más comunes:

1. Phishing tradicional o Deceptive Phishing, también conocido como Phishing de clonado o de redireccionamiento:

Es la modalidad más común de phishing. El hacker se hace pasar por alguien conocido o por una marca que cuente con la confianza de la víctima. El objetivo es conseguir información personal o credenciales de acceso a un determinado sitio. Las dos formas más comunes de llevar a cabo este tipo de ataque son:

a) El usuario recibe un correo electrónico en el que el hacker se hace pasar por una empresa de confianza. Una vez le ha contactado intenta sonsacarle algún tipo de información personal.

b) El usuario recibe un correo electrónico en el que se incluye un enlace que apunta a un sitio malicioso. Puede ser una página clonada cuya URL es prácticamente igual a la del sitio legítimo. Otra opción es que el hacker haya introducido algún tipo de iframe en una página legítima, aprovechando alguna vulnerabilidad de ésta. En cualquiera de los casos, el objetivo sigue siendo que engañar al usuario para que acceda e introduzca algún tipo de información.

2. Malware-Based Phishing:

Este tipo de ataque se caracteriza por el envío de correos electrónicos en los que se introduce una pieza de malware como archivo adjunto o como un descargable en el sitio web al que apunta el hipervínculo enviado por email y así poder aprovechar las vulnerabilidades de l dispositivo del usuario. Este tipo de ataque es especialmente común en las pequeñas y medianas empresas. ¿El motivo? Por lo general, el software no está siempre actualizado a la última versión y presenta mayores vulnerabilidades.

3. Spear phishing:

A diferencia de los casos anteriores, en esta modalidad, el ataque suele ser mucho más personalizado. En algunos casos se llega incluso a incluir el nombre de la víctima, su posición, la compañía, el teléfono, etc. Además, suelen ir dirigidos a un número reducido de personas con cierto perfil dentro de una empresa (normalmente suele ser el eslabón más débil). El objetivo de este tipo de ataques suele ser más específico.  Lo más común es que el vector de ataque utilizado sea el email, pero cada vez más, las redes sociales, están siendo también utilizadas.

4. Smishing (SMS): 

Este tipo de phishing, a diferencia de en los casos anteriores, no es realizado por email, sino a través de los teléfonos móviles. El hacker suele hacerse pasar por una empresa de confianza y envía un sms informando al usuario de que ha ganado un premio, ofreciéndole participar en un sorteo o para ofrecerle algún tipo de atención/soporte. Para canjearlo, la víctima debe:

  1. Hacer clic en un hipervínculo
  2. Llamar a un número de teléfono
  3. Responder al mensaje

5. Vishing:

El término vishing viene de “Phishing de voz” e implica el uso del teléfono. En este tipo de ataque, o bien el hacker establece centros de atención telefónica o directamente lanza él las llamadas. El hacker se hace pasar por algún proveedor, operadora, un centro de soporte, un banco, etc. con el objetivo de recabar cierta información personal.  tipos de phishing

6. Pharming:

Los cibercriminales manipulan los archivos hosts de una empresa o el sistema de nombres de dominio de la misma. Como resultado, las solicitudes de URL devuelven una dirección falsa y las comunicaciones se dirigen a un sitio web falso. Los usuarios introducen sus credenciales o información confidencial en el mismo, sin saber que está controlado por los cibercriminales.

7. Búsquedas del navegador:    tipos de phishing

Consiste en posicionar una página falsa por encima de la oficial mediante técnicas de SEO y SEM, para que cuando la víctima realiza una búsqueda, acceda a dicho resultado por error y, creyendo que se trata de la página legítima, introduzca en ella algún tipo de información.

8. Suplantación del CEO:

Consiste en hacerse con los credenciales del CEO o de cualquier otra persona con un cargo relevante dentro de la empresa para así, enviar un email desde su cuenta solicitando algún dato confidencial o la realización de una determinada transferencia/pago.

Sea cual sea el tipo de phishing, con Randed Isolation Technology tus empleados podrán navegar por Internet sin poner en riesgo tu negocio. Contáctanos y descubre este y otros muchos beneficios.

Síguenos en Twitter y LinkedIn para estar al tanto de las últimas actualizaciones