El phishing es el intento fraudulento de obtener información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito, disfrazándose de entidad confiable en una comunicación electrónica. Típicamente llevado a cabo mediante suplantación de identidad por correo electrónico o mensajería instantánea, a menudo dirige a los usuarios a ingresar información personal en un sitio web falso que coincide con el aspecto del sitio legítimo.
El phishing es un ejemplo de técnicas de ingeniería social que se utilizan para engañar a los usuarios. A menudo, los usuarios se sienten atraídos por las comunicaciones que pretenden ser de partes confiables, como sitios web sociales, sitios de subastas, bancos, procesadores de pagos en línea o administradores de TI.
Los intentos de lidiar con incidentes de phishing incluyen legislación, capacitación de usuarios, conciencia pública y medidas técnicas de seguridad (esto último se debe a ataques de phishing que a menudo explotan las debilidades en la seguridad web actual).
La palabra en sí es un neologismo creado como un homófono de pesca.
Tipos de phishing
Spear phishing
Los intentos de phishing dirigidos a individuos o empresas específicos se han denominado spear phishing. A diferencia del phishing masivo, los atacantes de spear phishing a menudo recopilan y usan información personal sobre su objetivo para aumentar su probabilidad de éxito.
Threat Group-4127 (Fancy Bear) utilizó tácticas de spear phishing para apuntar a cuentas de correo electrónico vinculadas a la campaña presidencial de Hillary Clinton en 2016. Atacaron más de 1.800 cuentas de Google e implementaron el dominio accounts-google.com para amenazar a los usuarios objetivo.
Ballenero
El término caza de ballenas se refiere a ataques de spear phishing dirigidos específicamente a altos ejecutivos y otros objetivos de alto perfil. En estos casos, el contenido se diseñará para apuntar a un gerente superior y al rol de la persona en la empresa. El contenido de un correo electrónico de ataque de caza de ballenas puede ser un problema ejecutivo, como una citación o una queja del cliente.
Phishing de clones
La suplantación de identidad (clone phishing) es un tipo de ataque de suplantación de identidad (phishing) mediante el cual un correo electrónico legítimo y previamente entregado que contiene un archivo adjunto o enlace ha recibido su contenido y las direcciones del destinatario y se ha utilizado para crear un correo electrónico casi idéntico o clonado. El archivo adjunto o enlace dentro del correo electrónico se reemplaza con una versión maliciosa y luego se envía desde una dirección de correo electrónico falsificada para que parezca provenir del remitente original. Puede pretender ser un reenvío del original o una versión actualizada del original. Por lo general, esto requiere que el remitente o el destinatario hayan sido pirateados previamente para que el tercero malintencionado obtenga el correo electrónico legítimo.
Manipulación de enlaces
La mayoría de los métodos de phishing utilizan alguna forma de engaño técnico diseñado para hacer que un enlace en un correo electrónico (y el sitio web falso al que conduce) parezca pertenecer a la organización falsificada. Las URL mal escritas o el uso de subdominios son trucos comunes utilizados por los phishers. En la siguiente URL de ejemplo, http://www.yourbank.example.com/, parece que la URL lo llevará a la sección de ejemplos del sitio web de yourbank; en realidad, esta URL apunta a la sección «yourbank» (es decir, phishing) del sitio web de ejemplo. Otro truco común es hacer que el texto que se muestra para un enlace (el texto entre las etiquetas <A>) sugiera un destino confiable, cuando el enlace realmente va al sitio de los phishers. Muchos clientes de correo electrónico de escritorio y navegadores web mostrarán la URL de destino de un enlace en la barra de estado al pasar el mouse sobre ella. Sin embargo, este comportamiento puede ser anulado en algunas circunstancias por el phisher. Las aplicaciones móviles equivalentes generalmente no tienen esta función de vista previa.
Los nombres de dominio internacionalizados (IDN) pueden explotarse mediante la suplantación de identidad IDN o los ataques de homógrafos, para crear direcciones web visualmente idénticas a un sitio legítimo, que conducen a una versión maliciosa. Los phishers se han aprovechado de un riesgo similar, utilizando redireccionadores de URL abiertos en los sitios web de organizaciones confiables para disfrazar URL maliciosas con un dominio confiable. Incluso los certificados digitales no resuelven este problema porque es muy posible que un phisher compre un certificado válido y luego cambie el contenido para falsificar un sitio web genuino o para alojar el sitio phishing sin SSL.
Evasión de filtro
Los phishers a veces han usado imágenes en lugar de texto para dificultar que los filtros anti-phishing detecten el texto comúnmente utilizado en los correos electrónicos de phishing. En respuesta, los filtros anti-phishing más sofisticados pueden recuperar texto oculto en imágenes usando OCR (reconocimiento óptico de caracteres).
Falsificación de sitios web
Algunas estafas de phishing usan comandos de JavaScript para alterar la barra de direcciones del sitio web al que conducen. Esto se hace colocando una imagen de una URL legítima sobre la barra de direcciones o cerrando la barra original y abriendo una nueva con la URL legítima.
Un atacante también puede usar defectos en los propios scripts de un sitio web confiable contra la víctima. Estos tipos de ataques (conocidos como secuencias de comandos entre sitios) son particularmente problemáticos, ya que le indican al usuario que inicie sesión en la página web de su banco o servicio, donde todo, desde la dirección web hasta los certificados de seguridad, parece correcto. En realidad, el enlace al sitio web está diseñado para llevar a cabo el ataque, lo que hace que sea muy difícil detectarlo sin el conocimiento especializado. Tal falla se usó en 2006 contra PayPal.
Para evitar las técnicas anti-phishing que escanean sitios web en busca de texto relacionado con phishing, los phishers a veces usan sitios web basados en Flash (una técnica conocida como phlashing). Estos se parecen mucho al sitio web real, pero ocultan el texto en un objeto multimedia.
Redireccionamiento encubierto
La redirección encubierta es un método sutil para realizar ataques de phishing que hace que los enlaces parezcan legítimos, pero en realidad redirige a una víctima al sitio web de un atacante. La falla generalmente se enmascara bajo una ventana emergente de inicio de sesión basada en el dominio del sitio afectado. También puede afectar a OAuth 2.0 y OpenID en función de parámetros de explotación conocidos. Esto a menudo utiliza la redirección abierta y las vulnerabilidades XSS en los sitios web de aplicaciones de terceros. Los usuarios también pueden ser redirigidos a sitios web de phishing de forma encubierta a través de extensiones de navegador maliciosas.
Los intentos normales de phishing pueden ser fáciles de detectar porque la URL de la página maliciosa generalmente será diferente del enlace real del sitio. Para la redirección encubierta, un atacante podría usar un sitio web real corrompiendo el sitio con un cuadro de diálogo emergente de inicio de sesión malicioso. Esto hace que la redirección encubierta sea diferente de las demás.
Por ejemplo, suponga que una víctima hace clic en un enlace de phishing malicioso que comienza con Facebook. Una ventana emergente de Facebook preguntará si la víctima desea autorizar la aplicación. Si la víctima elige autorizar la aplicación, se enviará un «token» al atacante y la información confidencial personal de la víctima podría quedar expuesta. Esta información puede incluir la dirección de correo electrónico, la fecha de nacimiento, los contactos y el historial laboral. En caso de que el «token» tenga mayor privilegio, el atacante podría obtener información más confidencial, incluido el buzón, la presencia en línea y la lista de amigos. Peor aún, el atacante posiblemente controle y opere la cuenta del usuario. Incluso si la víctima lo hace no elija autorizar la aplicación, él o ella seguirá siendo redirigido a un sitio web controlado por el atacante. Esto podría comprometer aún más a la víctima.
Esta vulnerabilidad fue descubierta por Wang Jing, un Ph.D. de Matemáticas. estudiante de la Facultad de Ciencias Físicas y Matemáticas de la Universidad Tecnológica de Nanyang en Singapur. La redirección encubierta es una falla de seguridad notable, aunque no es una amenaza para Internet que merezca una atención significativa.
Ingeniería social
Se puede alentar a los usuarios a hacer clic en varios tipos de contenido inesperado por una variedad de razones técnicas y sociales. Por ejemplo, un archivo adjunto malicioso podría enmascararse como un documento de Google vinculado benigno.
Alternativamente, los usuarios pueden estar indignados por una noticia falsa, hacer clic en un enlace e infectarse.
Phishing de voz
No todos los ataques de phishing requieren un sitio web falso. Los mensajes que afirmaban ser de un banco les decían a los usuarios que marcaran un número de teléfono con respecto a problemas con sus cuentas bancarias. Una vez que se marcó el número de teléfono (propiedad del phisher y provisto por un servicio de voz sobre IP), las instrucciones le indicaron a los usuarios que ingresen sus números de cuenta y PIN. Vishing (phishing de voz) a veces utiliza datos falsos de identificación de llamadas para dar la apariencia de que las llamadas provienen de una organización confiable.
Otras tecnicas
Otro ataque utilizado con éxito es reenviar al cliente al sitio web legítimo de un banco, luego colocar una ventana emergente solicitando credenciales en la parte superior de la página de manera que muchos usuarios piensen que el banco está solicitando esta información confidencial.
Tabnabbing aprovecha la navegación por pestañas, con múltiples pestañas abiertas. Este método redirige silenciosamente al usuario al sitio afectado. Esta técnica funciona a la inversa de la mayoría de las técnicas de phishing, ya que no lleva directamente al usuario al sitio fraudulento, sino que carga la página falsa en una de las pestañas abiertas del navegador.