La vacunación fue el tema más utilizado en ataques de phishing en 2021

  • Endpoint

Phishing

En 2022 habrá una gran cantidad de ataques relacionados con eventos importantes, como la Copa Mundial de la FIFA, el estreno de una serie basada en las obras de Tolkien y el lanzamiento del prototipo de rublo digital. Se prevé asimismo la expansión del modelo de phishing como servicio.

Recomendados: 

Lee IT Digital Security (Febrero de 2022) para PC y Mac Leer

Identificación de ataques web Leer

Según datos de Positive Technologies, la proporción de ataques a individuos que utilizan ingeniería social aumentó al 83% en el tercer trimestre de 2021, frente al 67% del mismo trimestre de 2020. Aunque la mayoría de los vectores de ataque permanecen vigentes de año en año, los atacantes están constantemente refinando sus métodos y adaptándose a las condiciones de pandemia. Los delincuentes explotan cada vez más la demanda de vacunas, servicios de entrega, citas online, suscripciones a servicios e incluso los sistemas de compensación para las víctimas de fraude.

Según Positive Technologies, los diez temas más populares utilizados en los ataques de phishing a lo largo de 2021 fueron:

--COVID-19. El tema principal en esta área en 2021 fue la vacunación. Los estafadores ofrecieron códigos QR y certificados falsos, y realizaron encuestas falsas de vacunación de empleados para recopilar datos.

--Comunicaciones corporativas. El análisis mostró que las noticias relacionadas con los cambios en nóminas, los beneficios sociales y los cargos bancarios son un terreno fértil para los phishers.

--Nuevos programas de televisión y películas. Antes de los estrenos de alto perfil, los estafadores tienen más éxito robando datos de cuentas y tarjetas bancarias a través de sitios web falsos que imitan los servicios de streaming populares.

--Eventos deportivos. En 2021, los atacantes explotaron los Juegos Olímpicos de Tokio y el Campeonato de Europa de la UEFA, y el phishing relacionado con la Copa Mundial de la FIFA 2022 apareció con un año de anticipación.

--Transacciones bancarias. Bajo el disfraz de marcas conocidas, los ciberdelincuentes atraen a las víctimas con la promesa de pagos, préstamos blandos o compensación para las víctimas de fraude, y notificando a los usuarios sobre "problemas" con la banca móvil.

--Servicios de entrega. Los estafadores roban dinero y datos, pidiendo a los clientes de dichos servicios que paguen por la entrega y el despacho de aduanas, o que comprueben el estado de su paquete.

--Viajes y vacaciones. Los correos electrónicos y sitios web de phishing invitan a los usuarios a reservar vacaciones y billetes, tentándolos con promociones y descuentos.

--Citas online. Los ciberdelincuentes explotan cínicamente el deseo de contacto humano durante la transición masiva al trabajo remoto y roban a las víctimas creando perfiles falsos en aplicaciones de citas.

--Suscripciones a servicios de música, películas y cloud. Los estafadores se aprovechan de la popularidad de los servicios basados en suscripción, enviando correos electrónicos a las víctimas sobre la renovación de suscripciones a varias plataformas.

--Inversiones en criptomonedas y petróleo y gas. En el contexto de la creciente popularidad de las inversiones entre los individuos, los ciberdelincuentes crean sitios web falsos que imitan los sitios de empresas conocidas, e incluso plataformas enteras de inversión falsas.

"En 2022, nuevamente esperamos ver una gran cantidad de ataques de phishing relacionados con eventos importantes, incluidos correos electrónicos masivos sobre la Copa Mundial de la FIFA y los Juegos Olímpicos de Invierno", señala Ekaterina Kilyusheva, jefa del Grupo de Investigación de Análisis de Seguridad de la Información de Positive Technologies. "También hay una alta probabilidad de ataques a los usuarios en relación con el lanzamiento de nuevas películas y programas de televisión. En 2022, por ejemplo, se espera el lanzamiento de una nueva serie basada en las obras de J. R. R. Tolkien. Los atacantes también pueden aprovechar el lanzamiento del prototipo de rublo digital para crear sitios de phishing y vender criptomonedas falsas. También podemos esperar la expansión de esquemas fraudulentos utilizando la ingeniería social en el campo de la inversión. Las víctimas aquí serán inversores privados persistentemente atacados por estafadores bajo el disfraz de inversores profesionales, autores de cursos de capacitación y plataformas de inversión falsas".

Además, Positive Technologies predice el desarrollo y la expansión del modelo de phishing como servicio. Este modelo se basa en la colaboración entre ciberdelincuentes y la compra y venta de soluciones listas para usar, como sitios web falsos o scripts maliciosos.