La mecánica es muy sencilla. Un cliente recibe un correo electrónico personalizado de su entidad bancaria indicándole que debe activar el nuevo sistema de seguridad web para poder seguir utilizando su cuenta con las máximas garantías. El cuerpo del texto del mensaje indica que el usuario sólo debe hacer click en el link e ingresar sus datos bancarios.
El cliente introduce dicha información, a continuación la página web solicita la firma electrónica y, acto seguido, es requerido para escribir la clave que acaba de recibir por SMS. Realizado todo el procedimiento la página web muestra un mensaje de error, pero al volver a intentarlo el cliente es redirigido a la web legítima del banco.
El usuario acaba de ser víctima de un delito de phishing y los ciberdelincuentes han obtenido toda su información.
Lo que acabamos de exponer es uno de los últimos casos reales de phishing identificados en España por la Oficina de Seguridad del Internauta (OSI). El banco objeto de esta estafa es Ibercaja y el asunto del email es “A partir del 31/05/2021 no puede utilizar su cuenta”. Obviamente, la página web a la que es redirigido el cliente a través del link del correo electrónico es falsa.
El caso de phishing de Ibercaja pasará a engrosar las estadísticas de esta tipología de ciberataques, que han experimentado un espectacular incremento en plena pandemia COVID-19. Así lo ha constatado una investigación de la BBC, que ha informado que se han detectado cientos de campañas criminales distintas que han enviado millones de correos electrónicos falsos durante la crisis del COVID.
Para acabar de dimensionar la magnitud del impacto económico -y empresarial- que generan los ataques de phishing prestemos atención a los siguientes datos recopilados por Prey, Inc:
- Google indexó en enero del 2021 más de dos millones de sitios de phishing, según informa Tessian
- Cisco detalla que el 38% de los archivos adjuntos maliciosos enviados a través de un correo electrónico tenían formatos de Microsoft Office, como Word, Powerpoint o Excel. Los archivos PDF representan el 14% del total.
- KnowBe4 asegura que el 91% de los ataques de tipo phishing utilizan la técnica spear phishing, que se caracteriza por ser un mensaje dirigido únicamente al destinatario puesto que lleva su nombre, por lo que implica una mayor posibilidad de que la víctima lo abra. Recordemos que además del spear phishing existen diversas tipologías de phishing, como el producido mediante un correo electrónico genérico, el vishing, el smishing, el phishing basado en malware y el QRishing.
- Según una encuesta realizada por CyberArk a más de 1.300 profesionales de TI, el 56% de las organizaciones identificaron al phishing como su mayor riesgo de seguridad informática.
- Según el informe IBM’s Cost of a Data Breach Report, el coste promedio por registro robado ha aumentado constantemente durante los últimos tres años. En 2019, el coste fue de $ 150. De media, el coste del robo de datos implica a las organizaciones una inversión de 3.92 millones de dólares. Dicha cifra aumentará en entidades más grandes y menor en las de menor tamaño.
- El Informe sobre delitos en Internet del FBI muestra que en el año 2020 los beneficios de los estafadores por correo electrónico empresarial (BEC) han crecido exponencialmente y han ascendido a más de 1.800 millones de dólares, mucho más que con cualquier otro tipo de delito cibernético.
- Según el estudio de tendencias de actividad de phishing del Anti-Phishing Working Group, la pérdida promedio por transferencia bancaria de los ataques BEC en el segundo trimestre de 2020 fue de $ 80.183. Una cifra muy superior a los más de $ 54.000 del primer trimestre.
¿Qué es el phishing?
Ahora ya tenemos una idea aproximada de lo que es y cómo funciona el phishing, pero merece la pena recoger los conceptos en una definición sistematizada.
Incibe (Instituto Nacional de Ciberseguridad de España) lo define como
“la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta”.
En cuanto a la operativa de la estafa cabe tener muy claro que es el estafador o phisher el que suplanta la personalidad de una persona o empresa de confianza.
Mediante la técnica llamada spoofing los criminales falsean la dirección del remitente, haciendo que parezca que proviene de un correo legítimo cuando se trata de un correo fraudulento.
El propósito es que el receptor de una comunicación electrónica aparentemente oficial (vía e-mail, SMS), crea que es real.
Mediante la mera acción de pinchar el enlace que va en el mensaje y que aparentemente, parece correcto, éste nos redirige a una web falsa (por ejemplo cambiando una o por un 0, o una l por un 1), con el objetivo final de facilitar los datos de interés para el estafador.
OSI también nos detalla cuáles son los servicios mayoritariamente utilizados por los suplantadores de identidad, entre los que encontramos:
- Bancos y cajas: Ya han sido víctimas de phishing ING DIrect, Bankia, Banco Popular, Caja España, Banco Santander, BBVA, CaixaBank, etc.
- Pasarelas de pago: PayPal, Mastercard, Visa, etc
- Redes Sociales: Facebook, Twitter, Instagram, etc
- Páginas de compra/venta y subastas: Amazon, eBay, etc
- Juegos online: Fortnite, CandyCrush, etc.
- Soporte técnico de empresas y servicios: Outllok, Yahoo, Apple, Gmail, etc.
- Servicios de almacenamiento en la nube: Google Drive, DropBox, etc
- Empresas públicas: Agencia Tributaria, Correos y Telégrafos, Policía Nacional, etc
- Servicios de Mensajería/Paquetería: DHL, Nacex
- Falsas ofertas de trabajo
Este es el primer post que hemos dedicado esta semana al phishing, el segundo lo podéis consultar aquí.