El phishing es una de las estrategias que más usan los ciberdelincuentes para poder obtener "premios económicos". Se puede definir como el envío de correos electrónicos que se hacen pasar por servicios fiables o legítimos (en muchos casos bancos, compañías de energía, etc) para conseguir las credenciales de las víctimas y así acceder a su información confidencial, pudiendo llegarse en algunos casos a sustraer dinero o hacer operaciones económicas.
Los emails enviados incluyen enlaces a un sitio web preparado por los cibermalos para invitar a la víctima a introducir sus datos personales y ahí es donde se produce el robo de sus datos personales de acceso.
Aunque no es un método precisamente nuevo, sí que sigue siendo bastante efectivo, ya que los cibermalos se están aproximando cada vez más a las apariencias y diseños de los servicios con los que intentan realizar el engaño. También ha dado el salto a otros canales, como los SMS (smishing), las llamadas de voz (vishing) o los mensajes instantáneos de las redes sociales.
Además, el phishing es una técnica cada vez más accesible incluso para hackers amateurs o personas que tengan malas intenciones. Su democratización, en parte, se debe a los kits de phishing.
Qué son los kits de phishing
Los kits de phishing permiten a los ciberdelincuentes sin muchos conocimientos técnicos aprovecharse fácilmente de nuevas tácticas de ataque. Contienen un conjunto de herramientas que permiten a los hackers aficionados a crear y lanzar sus propias campañas de phishing.
Una investigación realizada por Help Net Security descubrió que estos kits son sofisticados y están configurados para campañas que pueden robar detalles de tarjetas de crédito, información personal y números de seguridad social.
Tipos de kits de phishing
- Kit básico: contiene archivos simples escritos en HTML, PHP y JavaScript. Esto transferirá los datos de la víctima a archivos de registro locales y los atacantes tendrán que recopilarlos manualmente.
- Kit dinámico: contiene código y lógica especialmente diseñados para mostrar contenido dinámico a las víctimas. Esto puede tomar la forma de una página de inicio de sesión de banca de consumo falsa o mostrar logotipos de la empresa basados en su dirección de correo electrónico.
- Kit de titiritero: creado especialmente para recopilar información bancaria y permitir la interacción en vivo entre el atacante y el objetivo. Este kit se utiliza para evadir avisos de OTP, contraseñas y llamadas telefónicas de seguridad.
- Kit comercial: estos son los kits de phishing más populares que se han convertido en productos básicos. Los autores de estos kits los licencian e incluso proporcionan escaparates en línea donde los compradores pueden iniciar sesión, comprar, descargar y configurar kits de phishing.
- Frameworks: se parecen más a aplicaciones en lugar de archivos de almacenamiento, que se pueden ejecutar en servidores web improvisados para generar y ejecutar automáticamente páginas de phishing.
Los kits de phishing están aquí para quedarse
Los kits de phishing continúan evolucionando y difundiéndose a medida que los sitios web cambian sus procesos de seguridad. Esto empuja a los desarrolladores de kits a modificar su código para que coincida con precisión con los diseños actuales y la experiencia del usuario.
Los investigadores sospechan que los ataques de phishing seguirán aumentando en volumen y sofisticación, y que los kits de phishing permitirán que incluso los atacantes menos capacitados implementen ataques.