Recibes un correo electrónico de tu banco en el que se te notifica que se está realizando una actualización de Seguridad. Para llevar a cabo dicha actualización debes pulsar el enlace que tiene el correo e introducir tus credenciales en una web (que se parece a la de tu banco). El correo comienza con “Estimado cliente” y está mal redactado. Tu banco ya te ha advertido sobre este tipo de emails que intenta capturar tus credenciales bancarias. No pulsas, reconoces que se trata de un phishing.
Este tipo de correo es un ejemplo de phishing de envío masivo en el cual el texto del correo está realizado con un traductor. Los cibercriminales envían una gran cantidad de correos electrónicos a direcciones que se han creado de forma aleatoria o que han conseguido a través de búsquedas por internet. La excusa utilizada para que pulses en el enlace del correo y entres en una web (o te descargues una aplicación) suele ser una actualización de seguridad o cambios en los sistemas del banco. Estos correos masivos nunca van personalizados con el nombre del usuario receptor, siempre se dirigen a “Estimado cliente” o algo parecido. Lógicamente en estos envíos no todos los destinatarios de dichos correos serán clientes del banco que se intenta atacar. Esta técnica basa su éxito en el pequeño porcentaje de usuarios que sí es cliente del banco y que por desconocimiento introducirá sus credenciales.
Ahora, imaginemos otro escenario:
Es tu cumpleaños y el departamento de Seguridad de tu banco te envía un correo a tu nombre, felicitándote tu cumpleaños y, de paso, te recuerda que no has realizado la actualización de tus datos. Para realizar dicha actualización sólo tienes que pulsar el enlace del correo e introducir tus credenciales. ¿Pulsarías en el enlace? ¿Sí? Acabas de ser víctima de un Spear Phishing. Pero, si conoce mi nombre y el día de mi cumpleaños, ¿Cómo es posible que sea un atacante?
El Spear Phishing se caracteriza en utilizar información personal del objetivo para realizar ataques personalizados. Estos mensajes, por lo tanto, son más creíbles. La información sobre el receptor del correo se obtiene de las redes sociales e Internet. Antes de realizar este tipo de ataque, el cibercriminal buscará información de su víctima. Con los datos obtenidos confeccionará un mensaje acorde con los gustos de la víctima o con sus datos. Estos correos, por tanto, se dirigen a los usuarios por su nombre, cargo o profesión. Es un ataque más costoso para el cibercriminal ya que tiene que realizar una investigación sobre su víctima pero el éxito de este tipo de mensajes es superior al del tipo envío masivo.
Desde Seguridad queremos advertir de este tipo de ataque más sofisticado y por tanto más peligroso.
Recordad: Nunca se os solicitará datos relativos a vuestro usuario, contraseña o tarjeta de coordenadas.
