Phishing

-

 Phishing


Este es un ejemplo de un intento de phishing. Haciéndose pasar por un correo electrónico oficial,

trata de engañar a los clientes del banco para que den información acerca de su cuenta con un

enlace a la página del phisher.


Phishing es un término informático que distingue a un conjunto de técnicas que

persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una

persona, empresa o servicio de confianza (suplantación de identidad de tercero de

confianza), para manipularla y hacer que realice acciones que no debería realizar (por

ejemplo, revelar información confidencial o hacer click en un enlace).  

Para realizar el engaño, habitualmente se hace uso de la ingeniería social explotando

los instintos sociales de la gente, 3 ​ como es de ayudar o ser eficiente. Por ejemplo,

enviando correos electrónicos o mostrando publicidades a la víctima diciéndole que ha

ganado un premio y que siga un enlace para recibirlo, siendo aquellas promesas falsas

(un cebo).. Habitualmente el objetivo es robar información pero otras veces es instalar

malware, sabotear sistemas, o robar dinero a través de fraudes. 


Phishing como servicio

El Phishing como servicio o PHaaS (del inglés Phishing-as-a-Service) consiste en

ofrecer, previo pago, una plataforma que proporciona varios servicios de phishing. De

esta forma se establece un mercado para comprar y vender dichos servicios. 

Es habitual que el sistema ofrezca una serie de plantillas (de redes sociales, banca,

comercio minorista, telecomunicaciones, servicios públicos, juegos, plataformas de

citas,...) para que el usuario elija la que usa y la configure de acuerdo al ataque de

phishing que quiera utilizar. Además, el sistema proporciona un panel que permitirá al

usuario seguir los detalles de la campaña de phishing y obtener las credenciales

robadas con éxito. A partir de aquí ya el usuario puede explotar estas credenciales

para su propio beneficio o venderlas a compradores interesados en el mercado. ​

A veces se ofrecen suscripciones gratis que permiten ver tutoriales y se asesora sobre

como utilizar el phishing para ganar dinero fácil. 

Un ejemplo de este tipo de plataformas es Hackshit 


Fases


 En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o

correos electrónicos, a través de mensajes de ofertas de empleo con una gran

rentabilidad o disposición de dinero ( hoax  o scam). En el caso de que caigan

en la trampa, los presuntos intermediarios de la estafa, deben rellenar

determinados campos, tales como: Datos personales y número de cuenta

bancaria.

 Se comete el phishing, ya sea el envío global de millones de correos

electrónicos bajo la apariencia de entidades bancarias, solicitando las claves

de la cuenta bancaria (phishing) o con ataques específicos.

 El tercer paso consiste en que los estafadores comienzan a retirar sumas

importantes de dinero, las cuales son transmitidas a las cuentas de los

intermediarios (muleros).

 Los intermediarios realizan el traspaso a las cuentas de los estafados



Comentarios

Publicar un comentario