Phishing

Phishing

El phishing consiste en el envío de correos u otro tipo de mensajes electrónicos, o a través de otros métodos, que simulan ser comunicaciones legítimas para manipular a su receptor para que revele información confidencial. El mensaje phishing puede llevar al receptor hacia una página web falsa con la misma apariencia de una página original de una empresa, agencia gubernamental u otra organización, y dará instrucciones al usuario, no consciente del engaño, para que revele información sensible como contraseñas, números de tarjetas de crédito, e información de cuentas bancarias. Sin embargo, el sitio web no es genuino y ha sido creado con el único objetivo de robar la información del usuario.

• Phishing a través de emails.• Business Email Compromise (BEC)

Phishing a través de emails

El tipo de phishing más común es mediante correo electrónico. Los delincuentes envían el mismo correo electrónico fraudulento a millones de direcciones de correo electrónico personales, solicitando al receptor que revele información personal usando medios fraudulentos, típicamente redireccionado a las víctimas a un sitio web falso que luce casi idéntico al sitio real que la víctima intentaba visitar. Estos datos son luego utilizados por los delincuentes para realizar varias actividades ilegales, siendo la más común un esquema de robo de identidad. Si bien estos de ataque tienen niveles relativamente bajos de éxito pues hay más conciencia, un índice relativamente bajo de éxito entre los millones de correos electrónicos que se envían por día significa que muchos aún son víctimas de este tipo de ataque.

Business Email Compromise (BEC)

BEC es un tipo de estafa dirigida a empresas que realizan transferencias electrónicas y tienen proveedores en el extranjero. Los correos electrónicos de ejecutivos o empleados de alto nivel relacionados con las finanzas o involucradas con pagos por transferencia bancaria son falsificados o comprometidos a través de keyloggers o ataques de phishing para realizar transferencias fraudulentas, lo que resulta en pérdidas de cientos de miles de dólares. Previamente conocido como estafas de Man-in-the-Email, los delincuentes que utilizan BEC dependen en gran medida de las tácticas de ingeniería social para engañar a los empleados y ejecutivos desprevenidos. A menudo, se hacen pasar por CEO o cualquier ejecutivo autorizado para hacer transferencias bancarias. Además, los estafadores también investigan cuidadosamente y monitorean de cerca a sus posibles víctimas objetivo y sus organizaciones.

Según el FBI, hay 5 tipos de estafas BEC:

BEC

Fraude del CEO

Cuenta compromet

ida

El falso esquema

de facturas

¿Abogado? Robo de datos

El falso esquema de facturas

Las empresas con proveedores extranjeros a menudo son blanco en esta táctica, en la que los atacantes fingen ser los proveedores que solicitan transferencias de fondos para pagos a una cuenta propiedad de estafadores.

Fraude del CEO

Los atacantes se hacen pasar por el CEO o presidente de la empresa, u otro ejecutivo importante, y envían un correo electrónico a los empleados de finanzas, solicitándoles que transfieran dinero a la cuenta que controlan.

Cuenta comprometida

Los delincuentes hackean el email de un ejecutivo o empleado y luego lo utiliza para solicitar pagos de facturas a los proveedores que figuran en sus contactos de correo electrónico. los pagos se envían a cuentas bancarias fraudulentas.

¿Abogado?

Los delincuentes fingen ser un abogado o alguien de una firma de abogados supuestamente a cargo de asuntos cruciales y confidenciales. Normalmente, tales solicitudes falsas se realizan por correo electrónico o por teléfono, por lo general al final del día hábil.

Robo de datos

Los empleados en las áreas de RR. HH. y contabilidad están destinados a obtener información de identificación personal o declaraciones de impuestos de empleados y ejecutivos. Dichos datos pueden usarse para futuros ataques.

Spear-Phishing

Este es un método más refinado de phishing e implica el envío de mensajes con información o contenido personalizados para un receptor específico, lo que incrementa las posibilidades de que sea considerado un mensaje genuino. Lo que diferencia al spear-phishing de las técnicas tradicionales de phishing es que incluye algunos datos personales sobre el receptor. Los mensajes de spear-phishing pueden ser bastante sofisticados, y pueden incluir el nombre de la víctima e información de identificación personal. También puede imitar mensajes de amigos, conocidos o asociados comerciales.

Man-in-the-Middle Attack

También conocido como ataque de intermediario, es una técnica sofisticadas de phishing, donde un delincuente está ubicado virtualmente entre el sitio web legítimo y la terminal del usuario. El delincuente intercepta detalles durante una transacción entre el sitio legítimo y el usuario. Después de que el usuario ingresa su información personal, esta es capturada por el delincuente sin que el usuario se percate de ello.

Fuente: h�ps://www.delitosfinancieros.org/las-mejores-prac�cas-para-reconocer-y-comba�r-los-delitos-financieros-ciberne�cos-en-una-realidad-hipercone

ctada-virtualmente/