Todos los días se reciben ataques de Phishing en tu correo electrónico, en el último año, estos han aumentado un 400%, la Concienciación Phishing es muy importante en esta materia.
Algunos datos del Phishing:
- Según Verizon, representa el 90% de las Violaciones de Datos
- El coste promedio de una violación de datos, según estudios de IBM, está 4,35 millones en 2022
- Cada día se producen 350.000 ataques
Empecemos, ¿Qué es el Phishing?
Para empezar, vamos a ver que es realmente el Phishing:
- Conjunto de técnicas de ingeniería social, con el único fin de robarnos información, haciéndose pasar por una entidad de confianza del usuario.
- La comunicación suele contener un asunto interesante que llame la atención del usuario.
- El correo electrónico copia a la perfección un correo que sí sería verídico.
- Otra técnica es hacerse pasar por tu propia empresa, que quiere compartir algo contigo.
¿Qué datos se Pretenden Obtener con un Ataque?
Aquellos datos que le faciliten el acceso a servicios y sistemas:
- Contraseñas
- Teléfonos
- Direcciones Postales
- Números de Identificación (DNI, NIE, CIF, Seguridad Social)
- Cuentas Bancarias
- Números de Tarjeta de Crédito
¿Qué tipo de Entidades suplantan?
Por lo general, suplantan a empresas conocidas por todos, que tenga mucha cantidad de clientes, para asegurarse que el ataque tenga un mayor alcance, entre ellas encontramos en el top 10:
- DHL
- Microsoft
- FeedEx
- Amazon
- Maersk
- AliExpress
- Apple
¿Qué Tipos de Phishing existen?
Ya sabes cuál es el significado de phishing. A continuación, vamos a ver algunos de los tipos de ataques de phishing más comunes:
Phishing Tradicional
El atacante clona o simula una web, para obtener los datos de la víctima, este es el más extendido, se simulan campañas de cambios de contraseñas, actualización de datos, para robarte tus credenciales o tus datos bancarios.
Malware-Based Phishing
En este caso, el ataque se realiza mediante el envío de un fichero o URL, que contiene código malicioso para el equipo, el usuario lo abre y el equipo queda infectado, muy común por ejemplo el Ransomware.
Suplantación del CEO
Uno de los ataques que más han proliferado de Phishing, los atacantes suplantan la identidad del CEO de la empresa.
A continuación, envían mails a personal de la empresa, para conseguir datos financieros de la compañía.
Smishing
Esta variedad de ataque es igual al phishing tradicional, pero se realiza mediante SMS, WhatsApp, Telegram, etc.
Suplantan sobre todo identidades bancarias, empresas de paquetería compañías eléctricas, etc.
Vishing
Llamada Telefónica para conseguir datos del cliente, una vez el cliente ha caído en la trampa del Phishing, normalmente, suplantan a entidades bancarias.
¿Cómo funciona el Phishing?
Una vez que la víctima hace clic en el enlace, le lleva a una web idéntica a la original, para proceder a capturar los datos, una vez metidos nos redirige, ahora sí, a la web original.
Estos datos suelen ser utilizadas de inmediato. Y en muchas ocasiones, infectan el equipo, para que nuestro equipo se convierta en una cadena de Phishing.
¿En qué consiste la Concienciación Phishing?
Ofrecemos hacer campañas de concienciación contra el Phishing con sus empleados, para ello, realizaremos ataques simulados, y veremos el nivel de riesgo de su empresa.
Una vez que hayamos realizado dicho ataque, se mostraran los datos y se dará una formación, exponiendo los datos registrados, los riesgos a los que se expone la empresa y las pérdidas que esto puede acarrear para la empresa, y a nivel personal.
Una vez realizada dicha charla, se programará otro ataque simulado, para ver qué nivel de concienciación han adquirido los empleados.
¿Cómo evitar ser Víctima de Phishing?
La concienciación es muy importante, tener siempre presente, que, en cualquier momento, podemos ser víctimas de ataques de phishing, por eso es muy importante, seguir una serie de recomendaciones.
En dicha formación, se les explica a los usuarios el riesgo que corremos al estar expuestos al “ciberespacio”, para intentar minimizar dichos riesgos.
Ahora unos cuantos tips que ayudaran a no ser víctimas de estos ataques:
- No abrir correos de usuarios desconocidos o que no hayamos solicitado, confirme antes de actuar
- En caso de que el correo proceda de una entidad bancaria legitima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos
- No contestar a estos requerimientos
- Tener precaución al abrir enlaces, documentos adjuntos, aunque sean de contactos conocidos
- Tener siempre actualizado el sistema operativo y antivirus
- Usar siempre antivirus con licencia y de confianza, teniéndolo siempre activo
- Asegurarse que se usan contraseñas robustas, tanta en las cuentas de correo, como cuentas de usuario
- Usar doble factor de autenticación en servicios en línea
- Revisar bien la dirección de correo del remitente
- Ver que los enlaces sean https y no http
- Comprobar la dirección del enlace, y que realmente sea de la empresa que nos contacta
- No exponer nunca información de la empresa
- Evitar el uso del correo personal, para uso empresarial
Con unas pequeñas prácticas en nuestro trabajo diario, estaremos protegiendo a la empresa de los temidos ciberataques, por que por mucho empeño que los responsables de IT y Seguridad pongamos, al final hay que concienciar y formar al eslabón más débil en la cadena.
¿He sido Víctima de Phishing, ahora que hago?
Si has caído en la trampa debes de realizar acciones inmediatas para minimizar los problemas y a parte hacer autocrítica:
- Cambia las contraseñas inmediatamente
- Cancela pagos realizados, en la medida de lo posible
- Avisa el responsable de Ciberseguridad, para minimizar los riesgos
- Lo mas importante, analiza en que has fallado, para que no te vuelva a suceder
Recuerda que es muy importante, que aprendas a localizar estos correos, y cuando los localices, no te olvides de:
- Ignorar el mensaje
- No reenviarlo a nadie
- Denunciar en alguno de los siguientes medios:
- Policía Nacional: En esta página WEB
- Guardia Civil: En esta página WEB
- O bien en el INCIBE, que aquí te dejo la WEB, donde tienes todos los medios disponibles para realizar dicha denuncia
- Avisa al personal de la empresa, para que estén precavidos, si le llega el mismo correo electrónico
¿Necesitas Ayuda en Concienciación Phishing?
Si deseas que e ayudemos en mejorar la ciberseguridad de tu empresa en materia de concienciación, no dudes en ponerte en contacto con nosotros, aquí.
Estaremos encantados de ayudarte, a conseguir que tu empresa sea Ciberexperta.