SMS o smishing.

El primero, esta mas presente en los teléfonos móviles, es el Phishing por SMS o también conocido como Smishing. En este caso el atacante va a enviar un mensaje de texto al móvil de la víctima, donde buscará que haga clic en algún enlace y de esa forma ejecutar el ataque para lograr su objetivo.

Un ejemplo claro es un ataque Phishing que llega por SMS y simula ser de un banco. Solicitan iniciar sesión para solucionar un problema, por ejemplo, pero en realidad se trata de una estafa. Al hacer clic en el enlace vamos a parar a una página que es una copia de la original y todo lo que enviemos va a ir a un servidor controlado por los atacantes.

También es muy común recibir un SMS donde nos indican que no se ha podido entregar un paquete que nos va a enviar una determinada empresa de transporte. Esto especialmente se incrementa en épocas como la Navidad. Es exactamente igual que el caso del Phishing bancario y también va a buscar robar datos personales y contraseñas.

Por correo.

El tipo de Phishing clásico es a través del correo electrónico. Cualquier e-mail que recibamos lo podemos abrir directamente desde cualquier dispositivo. Y es justo en este donde más errores podemos cometer.

Si recibimos un e-mail y lo leemos, es más probable que terminemos haciendo clic en un enlace fraudulento, donde somos más cuidadosos y también podemos identificar un fraude mejor. Por ello los ciber delincuentes tienen aquí una buena oportunidad y es un método que, junto al SMS, está muy presente.

En el mensaje del correo electrónico pueden utilizar cualquier estrategia. Por ejemplo indicarnos que hay algún problema con una red social, como puede ser Facebook o Twitter, y tenemos que acceder con nuestros datos. También algún fallo con el propio correo o cualquier otro servicio online.

Spear Phishing.

Normalmente los ataques Phishing son genéricos. Es decir, recibimos un correo o un SMS sin que estén dirigidos realmente a nosotros. Vamos a recibir algo del tipo “estimado usuario”. Aunque solo con eso ya tienen una probabilidad de éxito importante, es aún mayor cuando envían los ataques más personalizados.

Eso es lo que hace le Spear Phishing. Es básicamente un ataque como los anteriores, pero van dirigidos al nombre de la víctima. Ese SMS o e-mail van a ser más personal, por lo que los atacantes van a tener mayor probabilidad de éxito. A fin de cuentas, una persona va a tener más interés en abrir un enlace si han recibido un mensaje a su nombre.

Angler Phishing.

Este tipo de phising es mucho mas peligroso que todos los demás ya que no solo es el mensaje , sino que van a crear un ataque muy bien orquestado. En este caso van a obtener información principalmente a través de redes sociales. Por ejemplo averiguar dónde trabaja la víctima, dónde estudia, qué intereses tiene… En base a todo eso van a crear un perfil de la víctima y van a saber de qué manera es más probable que caiga en la trampa.

Vishing.

Un tipo de Phishing para celulares que ha crecido también mucho en los últimos años es lo que se conoce como Vishing. No se trata en este caso de texto, sino de una llamada telefónica. Por medio de la voz, el atacante va a simular algo que no es con el objetivo de que la víctima ceda sus datos y caiga en la trampa.

Por ejemplo, podría hacerse pasar por un empleado de un banco donde la víctima tiene una cuenta. Le indica que hay un error con su cuenta y que necesitan cierta información. Incluso pueden decirle que ha habido un ataque contra su cuenta bancaria y que necesitan solucionarlo para que no les roben dinero, pero que para poder arreglarlo tienen que entrar con su contraseña.

La víctima, nerviosa por ver cómo su cuenta puede estar en peligro, confía en esa llamada y le indica los datos que solicita el atacante. Esto a veces incluye códigos de autenticación en dos pasos, por lo que el ciberdelilncuente va a tener un control total sobre la cuenta.

QRishing

Seguro que en alguna ocasión has ido a un restaurante y has visto el menú a través del móvil con el lector QR. También al visitar un monumento o cualquier lugar con un panel informativo. Su funcionamiento es sencillo: usas la cámara del móvil y una aplicación para leer un código que te deriva a una página web.

Lo que hace el atacante es modificar ese código QR. Va a simular que es legítimo, pero en realidad va a derivar a la víctima a una página falsa, donde va a robar los datos personales y contraseñas. Esos códigos los pueden poner en un restaurante, un monumento o cualquier lugar en donde debía haber otro que sí es legítimo.