Aquí tienes una pequeña muestra de correos electrónicos de phishing populares que hemos visto a lo largo de los años. Como se puede ver, hay muchos enfoques diferentes que los ciberdelincuentes tomarán y siempre están evolucionando.
Aunque sería prácticamente imposible mantener un archivo actual y totalmente completo de estos ejemplos, es una muy buena idea mantenerse actualizado sobre lo que hay para hacer que los ataques de phishing sean menos probables.
Correos electrónicos clásicos de phishing
Estafas de soporte técnico
En los últimos años, los proveedores de servicios en línea han reforzado su seguridad enviando mensajes a los clientes cuando detectan actividad inusual o preocupante en las cuentas de sus usuarios. No es de extrañar que los malos se aprovechen de ello. Muchos están mal diseñados, con mala gramática, etc., pero otros parecen lo suficientemente legítimos como para que alguien haga clic si no está prestando mucha atención:
Considere este falso aviso de seguridad de Paypal que advierte a las marcas potenciales de «actividad inusual de inicio de sesión» en sus cuentas:
Pasar el ratón por encima de los enlaces sería suficiente para evitar que acabe en un sitio web de robo de credenciales.
Y aquí hay un aviso falso de Microsoft, casi idéntico en apariencia a un aviso real de Microsoft sobre «Actividad inusual de inicio de sesión»:
Este correo electrónico dirige a los usuarios a un número 1-800 falso en lugar de enviarlos a un phishing de credenciales.
Adjuntos infectados
Los peligros ocultos de los adjuntos .HTML
Los adjuntos .HTML maliciosos no se ven tan a menudo como los adjuntos de archivos .JS o .DOC, pero son deseables por un par de razones. En primer lugar, hay pocas posibilidades de que el antivirus los detecte, ya que los archivos .HTML no suelen estar asociados a ataques por correo electrónico. En segundo lugar, los archivos adjuntos .HTML son utilizados habitualmente por los bancos y otras instituciones financieras, por lo que la gente está acostumbrada a verlos en sus bandejas de entrada. He aquí algunos ejemplos de phishing de credenciales que hemos visto utilizando este vector de ataque:
Las macros maliciosas en los correos electrónicos de phishing se han convertido en una forma cada vez más común de entregar ransomware en el año. Estos documentos suelen superar sin problemas los programas antivirus. Los correos electrónicos de phishing contienen una sensación de urgencia para el destinatario y, como se puede ver en la siguiente captura de pantalla, los documentos guían a los usuarios a través del proceso. Si los usuarios no activan las macros, el ataque no tiene éxito.
Mensajes maliciosos de Facebook
Varios usuarios de Facebook recibieron mensajes en sus cuentas de Messenger de otros usuarios ya conocidos. El mensaje consistía en un único archivo de imagen .SVG (Scaleable Vector Graphic) que, notablemente, eludía el filtro de extensiones de archivo de Facebook. Los usuarios que hacían clic en el archivo para abrirlo eran redirigidos a una página falsa de Youtube que pedía a los usuarios que instalaran dos extensiones de Chrome supuestamente necesarias para ver el vídeo (inexistente) de la página.
Para la mayoría de los usuarios, las dos extensiones de Chrome se utilizaron para permitir al malware un grado limitado de autopropagación al explotar el «acceso del navegador a su cuenta de Facebook con el fin de enviar secretamente mensajes a todos sus amigos de Facebook con el mismo archivo de imagen SVG.»
En los PC de algunos usuarios el Javascript incrustado también descargaba y lanzaba Nemucod , un descargador de troyanos con un largo historial de descarga de una amplia variedad de cargas útiles maliciosas en los PC comprometidos. Los usuarios que tuvieron la mala suerte de encontrarse con esta versión del script malicioso vieron cómo sus ordenadores eran tomados como rehenes por el ransomware Locky.
Ataques de phishing contra LinkedIn
LinkedIn ha sido el centro de las estafas en línea y de los ataques de phishing desde hace varios años, principalmente debido a la gran cantidad de datos que ofrece sobre los empleados de las empresas. Los actores maliciosos extraen esos datos para identificar posibles marcas para los ataques de compromiso de correo electrónico de las empresas, incluidas las transferencias bancarias y las estafas de ingeniería social W-2, así como una serie de otras artimañas creativas. He aquí algunos ejemplos que hemos visto a través del botón de alerta de phishing de KnowBe4:
En un caso, un usuario informó de que había recibido un phishing estándar de credenciales de Wells Fargo a través del InMail de LinkedIn:
Nótese que este InMail en particular parece haberse originado desde una cuenta falsa de Wells Fargo. El enlace suministrado lleva a un phishing de credenciales bastante típico (alojado en un dominio malicioso que ya ha sido retirado):
Parece que los malos crearon un perfil falso de Wells Fargo en un intento de parecer más auténticos.
Otro phishing similar fue entregado a una cuenta de correo electrónico fuera de LinkedIn:
Este correo electrónico fue entregado a través de LinkedIn, al igual que las URL utilizadas para los diversos enlaces incluidos en el pie de página de este correo electrónico («Responder», «No estoy interesado», «Ver el perfil de LinkedIn de Wells»):
Estas URLs fueron obviamente autogeneradas por el propio LinkedIn cuando los actores maliciosos utilizaron las funciones de mensajería de LinkedIn para generar este phish, que llegó a la cuenta de correo electrónico externa de la marca (a diferencia de su buzón de InMail, como fue el caso del primer phish comentado anteriormente).
Estafas de fraude al CEO
Este es un ejemplo de un cliente de KnowBe4 que fue objeto de un fraude al CEO. La empleada respondió inicialmente, luego recordó su formación y en su lugar denunció el correo electrónico utilizando el botón de alerta de phishing, alertando a su departamento de TI del intento de fraude.
Cuando la empleada no procedió a la transferencia bancaria, recibió otro correo electrónico de los malos, que probablemente pensaron que era el día de pago:
Temas de correo electrónico de phishing más cliqueados
KnowBe4 informa sobre los correos electrónicos de phishing más cliqueados por línea de asunto cada trimestre en tres categorías diferentes: temas relacionados con las redes sociales, temas generales y ‘In the Wild’ – esos resultados se reúnen a partir de los millones de usuarios que hacen clic en su botón de alerta de phishing para informar de correos electrónicos de phishing reales y permiten a nuestro equipo analizar los resultados. Puedes encontrar los resultados del trimestre más reciente, además de todos los trimestres anteriores, en KnowBe4.
Páginas relacionadas: Técnicas de phishing, Estafas comunes de phishing, Qué es el phishing