Normalmente, los ciberdelincuentes no utilizan un único tipo de ataque, sino una combinación de varios de ellos. El phishing es un buen ejemplo. El ataque comienza con el uso de ingeniería social para intentar conseguir información confidencial de forma fraudulenta, como puede ser las claves de acceso a la banca electrónica. Para ello, el ciberdelincuente (conocido como phisher), se hace pasar por una persona o empresa de confianza enviando una comunicación aparentemente oficial, que normalmente será un correo electrónico, aunque también se utilizan sistemas de mensajería instantánea o llamadas telefónicas (este caso se conoce como vishing).
Los phishers son capaces de averiguar con qué banco tiene relación una posible víctima (una vez más, cuidado con la información que publicamos, especialmente en redes sociales) y así enviar un correo electrónico falso. Esta variante, dirigida a objetivos específicos, se denomina spear phishing, que significa literalmente pesca con arpón.
Métodos de phishing
La mayoría de los métodos de phishing utiliza la manipulación en el diseño del correo electrónico para lograr que un enlace parezca una ruta legítima de la organización por la cual se hace pasar el impostor. Al pinchar en ese enlace, la víctima puede estar descargándose cualquier tipo de malware o accediendo a una página web fraudulenta que simule, por ejemplo la de su banco de confianza.
En este último caso, el usuario cree estar iniciando sesión en la propia página de su banco o servicio ya que la apariencia puede ser muy parecida a la página oficial. Normalmente los usuarios reciben un mensaje diciendo que deben verificar sus cuentas, seguido de un enlace que parece la página web auténtica. Una vez en la página fraudulenta, se le solicitará el usuario, la contraseña, y toda la información que el phisher considere relevante para poder acceder a las cuentas bancarias de la víctima.
Con toda esta información, el atacante puede acceder a la página legítima, identificarse con los datos de la víctima y realizar operaciones. En el caso de tratarse de una banca electrónica, lo normal es que realice transferencias a cuentas de las que tenga el control.
Para evitar dejar rastro, el phisher captará a una serie de intermediarios (muleros) que serán los que se personarán a retirar el dinero transferido anteriormente bien por ventanilla o por cajero automático, o transfiriendo los importes recibidos en cuentas de su titularidad a otras de titularidad de los delincuentes.
Para ello, en algunos casos utilizando también ingeniería social, enviarán mensajes o publicarán ofertas de empleo donde se ofrece dinero fácil y rápido con poco esfuerzo. Los que caigan en la trampa deberán rellenar campos como datos personales y número de cuenta bancaria, que será la destinataria de las transferencias fraudulentas (cuenta mula).
Resumiendo, las distintas fases de un ataque de phishing dirigido contra una entidad bancaria y sus clientes pueden ser los siguientes:
1. Captación de muleros y “cuentas mula”
2. Envío de correos, ya sean masivos (phishing) o dirigidos (spear phishing)
3. Acceso a la página fraudulenta por parte de las víctimas, proporcionando los datos necesarios para cometer el fraude.
4. Acceso a la banca electrónica por los ciberdelincuentes suplantando a las víctimas y realización de transferencias fraudulentas a las “cuentas mula”.
5. Traspaso de las “cuentas mula” a las de los ciberdelincuentes por parte de los muleros de las cantidades robadas, menos un porcentaje que se quedan los muleros.
Luchando contra el phishing
Hay numerosos programas informáticos anti-phishing que nos pueden ayudar a evitar ser víctimas de este fraude. La mayoría de ellos identifican contenidos en sitios web y correos electrónicos, algunos pueden integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real visitado. Los filtros antispam también ayudan, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.
Desde el punto de vista de las empresas, se han introducido refuerzos como el doble factor, consistente en un código enviado por sms al móvil o a través de notificaciones en smartphones con la aplicación bancaria instalada, de un solo uso y con una validez limitada en el tiempo, que debe ser introducido junto con otra medida de seguridad (como puede ser una coordenada) para operaciones sensibles.
También se pueden contratar servicios de monitoreo continuo, analizando y utilizando los medios que la ley pone a su disposición para el cierre de páginas fraudulentas.
