Phishing y phishing como servicio (PhaaS), explicados
El phishing es un hack frecuente que tiene como objetivo engañar a las personas para que revelen información privada, incluidos números de tarjetas de crédito, contraseñas e identidades personales.
Sólo en 2022 se informó a la Oficina Federal de Investigaciones de los Estados Unidos la asombrosa cifra de 300.497 casos de phishing. Estos ataques provocaron que las víctimas perdieran más de 52 millones de dólares. Por lo general, implica enviar correos electrónicos falsos que parecen auténticos, engañar a los destinatarios para que abran enlaces dañinos o soliciten información confidencial. El phishing como servicio (PhaaS) es un avance alarmante en el mundo del ciberdelito.
Con el uso de un servicio web basado en suscripción llamado PhaaS, incluso los delincuentes sin conocimientos técnicos pueden ejecutar fácilmente ataques de phishing complejos. Estas empresas ofrecen kits de phishing prefabricados, plantillas editables e infraestructura de servidor para crear páginas web falsas.
Un ciberdelincuente puede, por ejemplo, registrarse en una plataforma PhaaS, crear una plantilla de correo electrónico que parezca provenir de un intercambio de cifrado respetable y distribuirla a miles de posibles destinatarios. Es posible que en el correo electrónico se incluya un enlace a una página de inicio de sesión falsa destinada a robar las credenciales de los usuarios.
Los ciberdelincuentes pueden lanzar rápidamente extensas campañas de phishing con PhaaS, lo que representa una amenaza mayor tanto para individuos como para empresas. La accesibilidad de PhaaS reduce la barrera de entrada para el cibercrimen, que es una gran preocupación para los consumidores de Internet y los expertos en ciberseguridad a nivel mundial.
Cómo funciona PhaaS
PhaaS facilita que los estafadores inicien ataques de phishing al brindarles acceso a amplios conjuntos de herramientas e infraestructura.
Funciona de la siguiente manera:
Kits PhaaS
Los proveedores de PhaaS ofrecen kits de phishing preempaquetados con todas las herramientas, infraestructura y plantillas necesarias para llevar a cabo ataques de phishing. Estos kits incluyen plantillas de correo electrónico, páginas de inicio de sesión ficticias, servicios de registro de dominio e infraestructura de alojamiento.
Personalización
El grado de personalización que ofrecen los distintos sistemas PhaaS varía. Los estafadores pueden modificar los correos electrónicos, sitios web y dominios de phishing para que parezcan genuinos y confiables. Las campañas de phishing se pueden personalizar para dirigirse a personas, empresas o sectores concretos.
Orientación
Los ataques de phishing posibles gracias a PhaaS son cada vez más complejos. Los ciberdelincuentes tienen la capacidad de diseñar campañas publicitarias muy específicas que imitan las estrategias de comunicación y marca de empresas de renombre y sus ofertas. Los atacantes pueden crear comunicaciones persuasivas que tienen una mayor probabilidad de engañar a los destinatarios utilizando información personal obtenida de las redes sociales, violaciones de datos y otras fuentes.
Por ejemplo, los atacantes a menudo se hacen pasar por personal de soporte de carteras, intercambios o proyectos populares en las redes sociales (Telegram, Discord, Twitter, etc.). Ofrecen ayuda y engañan a los usuarios mediante afirmaciones falsas de obsequios o lanzamientos aéreos para que entreguen claves privadas o frases iniciales o establezcan conexiones con billeteras comprometidas para desviar sus fondos.
Peligros de PhaaS
PhaaS ha reducido drásticamente la barrera de entrada para los piratas informáticos, lo que ha dado lugar a un aumento perceptible en la cantidad y sofisticación de los intentos de phishing.
Incluso aquellos sin experiencia técnica pueden simplemente lanzar complejos ataques de phishing con PhaaS utilizando kits de herramientas preempaquetados, plantillas personalizables y la infraestructura de alojamiento que ofrecen los proveedores de PhaaS.
La posibilidad de sufrir una gran pérdida financiera es el principal riesgo asociado con PhaaS. El objetivo de las estafas de phishing es obtener las claves privadas, las frases iniciales o las credenciales de inicio de sesión de los usuarios. Estos pueden usarse para acceder a sus cuentas y vaciar sus billeteras de criptomonedas con fines nefastos. Por ejemplo, los atacantes alteraron la interfaz de BadgerDAO en 2021 después de engañar a los usuarios para que otorgaran permisos que permitieran gastar su dinero.
Los ataques PhaaS tienen el potencial de socavar la confianza en la comunidad criptográfica. Las estafas que tienen éxito pueden disuadir a las personas de utilizar incluso proyectos y servicios de buena reputación, lo que impide una adopción generalizada. Estos ataques son especialmente vulnerables para los usuarios novatos de criptomonedas. Pueden ser más susceptibles a caer en imitaciones de redes sociales o sitios web que parecen auténticos porque carecen de experiencia.
Los ataques de phishing son cada vez más complejos; Con frecuencia utilizan estrategias de ingeniería social e imitan plataformas genuinas. Esto hace que sea difícil de reconocer incluso para los usuarios experimentados.
PhaaS no es sólo para campañas de correo electrónico a gran escala. Los ataques de phishing están dirigidos a personas o empresas conocidas en la industria de las criptomonedas. Dichos ataques utilizan información personalizada para engañar a individuos u organizaciones específicas para que entreguen datos confidenciales o tomen acciones que conduzcan a pérdidas financieras o violaciones de seguridad.
Cómo defenderse contra PhaaS
Una forma ideal de protegerse contra PhaaS es practicar una vigilancia constante: verifique todo (URL, direcciones de remitente), nunca haga clic en enlaces no solicitados y nunca comparta sus claves privadas o frases iniciales.
Enfoque de seguridad multicapa y defensas técnicas
Instale firewalls, herramientas de monitoreo de red, seguridad de terminales y filtrado sólido de correo electrónico. Estas salvaguardas tecnológicas ayudan a identificar y bloquear archivos adjuntos riesgosos, correos electrónicos de phishing y actividad de red cuestionable.
Formación de sensibilización del usuario
Enseñe a los miembros del personal periódicamente cómo detectar y denunciar intentos de phishing. Infórmales de los signos típicos de los intentos de phishing. Esto implica instruir a las personas a examinar de cerca las direcciones de los remitentes, determinar la urgencia de los mensajes, mantenerse alejados de enlaces dudosos y desistir de enviar información privada por correo electrónico.
Políticas de seguridad
Implemente medidas de seguridad como mejores prácticas para contraseñas y autenticación de dos factores (2FA). Para evitar el acceso no deseado, fomente el uso de contraseñas seguras y únicas que se actualicen periódicamente.
Implementación DMARC
Para ayudar a eliminar correos electrónicos falsos, utilice métodos de autenticación de correo electrónico, como la autenticación, informes y conformidad de mensajes basados en dominio (DMARC). Al ayudar en la verificación de la autenticidad del correo electrónico, DMARC reduce la tasa de éxito de los intentos de phishing.
Brinda a los propietarios de dominios información sobre las estadísticas de autenticación de correo electrónico en su dominio y les permite establecer políticas para manejar correos electrónicos no autenticados.
Inteligencia de amenazas
Regístrese en los servicios de inteligencia sobre amenazas para recibir información sobre los ataques de phishing y las técnicas PhaaS más recientes. Para defender mejor las plataformas de criptomonedas contra las ciberamenazas en evolución, manténgase al día con los nuevos desarrollos en el campo de los ciberataques y los riesgos emergentes en línea.
