El phishing es una técnica de piratería que hace un usuario cree que está interactuando con la interfaz de un tercero de confianza (su banco, una administración, una empresa conocida…) con el fin de exfiltrar información personal como su contraseña, números de tarjetas de crédito, número de seguridad social, etc.
Una campaña de phishing se caracteriza, desde la perspectiva del hacker, por la sencillez de su ejecución asociada a la posibilidad de liderar un ataque a gran escala. Aunque se originó en la década de 1990, este tipo de ataque sigue siendo muy común hoy en día.
Hasta 2017, el vector preferido utilizado para el phishing era el correo electrónico. Pero junto con el uso extensivo de los teléfonos inteligentes, los medios han cambiado y las campañas de ataque se han vuelto más sofisticadas.
Ahora, los días de correos electrónicos dudosos enviados desde direcciones sin sentido han terminado. Los correos electrónicos e interfaces de phishing son casi idénticos a los auténticos y, por lo tanto, más difíciles de frustrar. Por otro lado, los intentos de phishing ya no consisten solo en robar información personal, sino que también se utilizan para robar datos corporativosya que son más valiosos.
Phishing en computadora VS móvil: ¿Cuál es la diferencia?
Un comportamiento de usuario diferente
El uso masivo de teléfonos inteligentes, tabletas y aplicaciones móviles en nuestra vida diaria, para fines personales y profesionales, los convierte en herramientas esenciales en las que confiamos y en las que es más probable que caigamos en las trampas de los piratas informáticos.
Cuando se abre un correo electrónico de phishing en una PC, el usuario tiene la capacidad de desplazar el enlace para ver a dónde redirige e identificar potencialmente una URL maliciosa (si no usa el nombre de la empresa imitada, que es a veces el caso). Sin embargo, en los dispositivos móviles, mostrar la URL no es tan obvio e intuitivo, lo que hace que este tipo de ataque sea menos perceptible.
Muchos más vectores de ataque en dispositivos móviles
Desde 2017, el correo electrónico ya no es el canal principal para las campañas de phishing, que representa solo el 15% de los ataques, y las aplicaciones móviles ocupan el primer lugar del podio. Con pocas funciones de filtrado y detección de spam presentes de forma nativa, los mensajes entrantes se muestran independientemente de su contenido en los teléfonos móviles.
La llegada de campañas de phishing a través de aplicaciones nativas de SMS y MMS en dispositivos móviles ha creado una nueva subcategoría de phishing llamada smishing. En otras aplicaciones móviles comunes de varias categorías (redes sociales, juegos, noticias, viajes…), los piratas informáticos utilizan funciones de mensajería.
Siguiendo el mismo principio que con los correos electrónicos, los mensajes enviados en aplicaciones móviles contienen un mensaje corto, un llamado a la acción y una URL maliciosa. A menudo, se relacionan con eventos comunes, como un pedido en Amazon que solo se puede confirmar actualizando los datos de la tarjeta de crédito o una póliza de seguro que necesita más información para renovarse.
Organizaciones dirigidas al phishing: amenazas y respuesta de seguridad
Al equipar a los empleados con dispositivos móviles o permitir el uso de teléfonos inteligentes personales para el trabajo, las organizaciones se han convertido en un objetivo muy lucrativo para las campañas de phishing.
La edición 2020 del evento anual de Verizon Informe de investigaciones de violación de datos muestra que el 32% de las filtraciones de datos corporativos son el resultado de phishing y tienen consecuencias desastrosas: mala prensa, acciones legales, pérdidas financieras ($ 3,92 millones en promedio)…
con casi 1,5 millones de sitios de phishing creados cada mes, el 68 % de los cuales usa HTTPS, las amenazas son omnipresentes y, si bien la concientización de los empleados es una buena manera de reducir el riesgo, no es del todo confiable. El estudio de Verizon lo confirma: todos los días, el 2% de los empleados hace clic en un enlace de phishing.
Los dispositivos móviles están multiplicando los canales utilizados por los piratas informáticos y, para que las organizaciones estén seguras, los equipos de seguridad deben proteger estos nuevos puntos de entrada.
Además, los métodos utilizados para prevenir el phishing son un factor importante a la hora de elegir una solución. Un enfoque simple pero efectivo que redirige los flujos móviles plantea problemas de dependencia y privacidad. Por lo tanto, es imperativo tener un enfoque acorde con las necesidades y limitaciones de la organización.
Pradeo’s Defensa contra amenazas móviles La solución neutraliza todo tipo de ataques de phishing (correo electrónico, SMS, aplicaciones…) para asegurar completamente el entorno corporativo.
Relacionado:
Ataques de phishing y la necesidad de defender los terminales móviles
Fundas De Movil Resistentes Por Delante Y Por Detras
