Selectividad del phishing en la crisis COVID-19

España se ha ubicado durante este 2020 como el principal receptor de correos electrónicos peligrosos, todo de acuerdo al análisis de Kaspersky sobre spam y phishing, señalando un 8,38% del total de ataques. Del mismo modo, se han podido detectar una serie de nuevos trucos de phishing, que van desde correos electrónicos que hacen referencia a despidos que son enviados en nombre del departamento de RR.HH. hasta ataques que están disfrazados de notificaciones de entrega.

Podemos entender que el phishing se trata de uno de los tipos de ataques de ingeniería social de más vieja data y también con más flexibilidad. El mismo es empleado de diversas formas y con distintos propósitos con los que se pueden atraer a los usuarios incautos hasta un sitio y poder engañarlos con la idea de que introduzcan su información personal. En el caso de esta última, incluye credenciales financieras como contraseñas de cuentas bancarias o detalles de las tarjetas de pago, y también detalles de inicio de sesión de los perfiles en redes sociales. Todo este tipo de información en manos equivocadas abre camino a distintas operaciones maliciosas, como la sustracción indebida de dinero, poniendo en riesgo las redes corporativas, lo que hace del phishing un método inicial de infección bastante popular.

Usar phishing se ha hecho un método de ataque eficaz y además puede ser realizado a gran escala. Cuando son enviadas oleadas masivas de correos electrónicos en nombre de instituciones legítimas o quizás al hacer promoción de páginas falsas, los cibercriminales incrementan sus posibilidades de éxito en la búsqueda de credenciales. Durante los primeros seis meses de este año, ha salido a luz lo más reciente de esta forma de ataque.

Si tienes una empresa pequeña, de seguro estará en la mira de los ataques dirigidos

Del mismo modo en que lo expuso el análisis de Kaspersky, durante el transcurso del segundo trimestre de 2020, los phishers han realizado cada vez más ataques dirigidos, mostrando que se han centrado principalmente en las pequeñas empresas. Con el fin de atraer la atención, estos estafadores se dedicaron a falsificar correos electrónicos y sitios web de organizaciones cuyos productos o servicios tenían la posibilidad de ser adquiridos por las víctimas potenciales. En medio del proceso de fabricación de estos activos falsos, los estafadores en líneas generales, ni siquiera intentan hacer que el sitio parezca auténtico. Tales ataques de phishing que son dirigidos, traen consecuencias graves, ya que una vez que un estafador ha logrado obtener acceso al buzón de un empleado, este lo puede utilizar para llevar a cabo otros ataques en contra de la empresa para la que trabaja el empleado, y para el resto de su personal incluyendo a los proveedores.

Viejos objetivos, nuevos trucos

Por si no fuese suficiente, la pandemia de COVID-19 le ha aportado un buen número de razones a los estafadores con las que pueden solicitar información personal. Entre ellas, pueden enmascarar sus mensajes de este modo:

Usando los servicios de entrega. Este se ha convertido en el punto álgido de la pandemia, ya que las organizaciones responsables de la entrega de cartas y paquetes mantienen constante prisa por notificar a sus destinatarios de posibles retrasos. Ante esta situación, los estafadores aprovechan este tipo de correos electrónicos, falsificándolos y solicitando a las víctimas abrir un archivo adjunto con el fin de acceder a la dirección de un almacén donde poder recoger un envío que no había sido entregado. Y de esta manera ha sucedido con los Servicios postales, Servicios financieros, Servicios de recursos humanos, entre otros.