No sólo por correo electrónico puede darse este tipo de ataques, sino también por otros tipos de servicios. Existen los siguientes:
- El phishing por SMS o smishing es un tipo de phishing que utiliza mensajes de texto de móvil o smartphone. Los esquemas de smishing más efectivos son contextuales, es decir, relacionados con las aplicaciones o la gestión de cuentas de un smartphone. Por ejemplo, los destinatarios pueden recibir un mensaje de texto que les ofrece un regalo de 'agradecimiento' por pagar una factura de teléfono, o pedirles que actualicen la información de su tarjeta de crédito para poder continuar utilizando un servicio de streaming.
- A su vez, existe el phishing de voz o vishing, que es un tipo de phishing que utiliza llamadas telefónicas. Gracias a la tecnología de voz sobre IP (VoIP), los estafadores pueden realizar millones de llamadas de vishing automatizadas al día; a menudo, utilizan la suplantación de ID de llamada entrante para que parezca que sus llamadas se realizan desde organizaciones o números locales legítimos. Las llamadas de vishing generalmente asustan a los destinatarios con advertencias de problemas con el proceso de la tarjeta de crédito, pagos vencidos o problemas con Hacienda. Las personas que responden terminan dando datos confidenciales a personas que trabajan para los estafadores; algunos incluso llegan a darles el control remoto de sus ordenadores a los estafadores al otro lado de la llamada.
- El phishing en redes sociales utiliza las distintas prestaciones de una plataforma de redes sociales para obtener información confidencial de sus miembros. Los estafadores utilizan los propios servicios de mensajería de las plataformas (por ejemplo, Facebook Messenger, la mensajería de LinkedIn o InMail, los mensajes directos de Twitter) de forma muy parecida a como utilizan los mensajes de texto o correo electrónico normales. También envían a los usuarios correos electrónicos de phishing que parece que provienen del sitio de la red social, solicitando a los destinatarios que actualicen sus credenciales de inicio de sesión o la información de pago. Estos ataques pueden ser especialmente costosos para las víctimas que utilizan las mismas credenciales de inicio de sesión en varios sitios de redes sociales, una 'mala práctica' demasiado común.
- Por último, está el phishing a través de la mensajería de aplicaciones o dentro de la aplicación. Las conocidas aplicaciones de smartphone y las aplicaciones basadas en la web (software como servicio o SaaS) envían correos electrónicos a sus usuarios con regularidad. Como resultado, estos usuarios son propensos a las campañas de phishing que suplantan la identidad de los correos electrónicos de los proveedores de aplicaciones o software. De nuevo es un juego de números: los estafadores generalmente suplantarán la identidad de las aplicaciones de smartphone y aplicaciones web más populares, por ejemplo, PayPal, Microsoft Office 365 o Teams, para obtener el máximo rendimiento de su inversión en phishing.
Protección contra las estafas de phishing
En el caso de usuarios que trabajen para organizaciones que requieran del manejo de dispositivos o del uso de servicios informáticos; se anima a esos espacios a enseñarle a sus trabajadores cómo reconocer las estafas de phishing y a desarrollar mejores prácticas sobre cómo tratar un mensaje de texto o correo electrónico sospechoso.
Por ejemplo, se puede enseñar a los usuarios a reconocer estas y otras característica de los correos electrónicos de phishing:
- Solicitudes de información personal, actualización de un perfil o información de pago
- Solicitudes de envío o movimiento de dinero
- Archivos adjuntos que el destinatario no ha solicitado ni esperaba
- Una sensación de urgencia, ya sea flagrante ('Tu cuenta se cerrará hoy...') o sutil (por ejemplo, una solicitud de un colega para pagar una factura inmediatamente)
- Amenazas de prisión u otras consecuencias poco realistas
- Mala ortografía o gramática
- Dirección del remitente incoherente o falsificada
- Enlaces acortados usando Bit.Ly o algún otro servicio para acortar enlaces
- Imágenes de texto utilizadas en lugar de texto (en mensajes o en páginas web vinculadas en los mensajes)
Las organizaciones también pueden fomentar o imponer mejores prácticas que pongan menos presión en los empleados para que sean detectives de phishing, en tal caso pueden establecer y comunicar políticas claras: un superior o un colega nunca enviará por correo electrónico una solicitud de transferencia de fondos, pueden requerir a los empleados que verifiquen cualquier solicitud de información confidencial poniéndose en contacto con el remitente o visitando directamente el sitio legítimo del remitente, utilizando medios distintos de los proporcionados en el mensaje. Asimismo, pueden insistir en que los empleados informen de los intentos de phishing y los correos electrónicos sospechosos al grupo de TI o seguridad.
Tecnologías de seguridad que combaten el phishing
Aunque dispongan del mejor entrenamiento y las mejores prácticas más rigurosas, los usuarios aún cometen errores. Afortunadamente, varias tecnologías establecidas y emergentes de seguridad de red y puntos finales pueden ayudar a los equipos de seguridad a continuar la batalla contra el phishing allí donde la dejaron el entrenamiento y las políticas.
- Los filtros de correo no deseado combinan los datos sobre las estafas de phishing existentes y los algoritmos de aprendizaje automático para identificar los correos electrónicos sospechosos de phishing (y otros correos no deseados), moverlos a una carpeta aparte e inhabilitar los enlaces que contienen.
- El software antivirus y antimalware detecta y neutraliza el código o los archivos maliciosos en los correos electrónicos de phishing.
- La autenticación multifactor requiere al menos una credencial de inicio de sesión adicional al nombre de usuario y la contraseña, por ejemplo, un código de un solo uso enviado al teléfono móvil de los usuarios. Al proporcionar una última línea de defensa adicional contra las estafas de phishing u otros ataques que comprometen con éxito las contraseñas, la autenticación multifactor puede socavar los ataques de suplantación de identidad e impedir el BEC.
- Los filtros web impiden que los usuarios visiten sitios web malicioso conocidos (sitios en la 'lista negra') y muestran alertas cada vez que los usuarios visitan supuestos sitios web maliciosos o falsos.
Además de las organizaciones en relación con sus empleados, es importante que los mismos usuarios por fuera de éstas puedan tener cierta autonomía informática y alfabetizarse con respecto a la protección de sus datos y la mejora de buenas prácticas de uso de estos elementos.