El auge del phishing móvil y cómo prevenirlo

Técnicas de phishing móvil y cómo prevenir el "mishing"“ 

La pandemia ha revolucionado nuestra forma de comunicarnos. Atrás quedaron los días en que teníamos que levantarnos del sofá para hablar con compañeros de trabajo y empleados. Hoy en día, solo necesitas un celular para usar Zoom, enviar correos electrónicos y programar reuniones. Sin embargo, esta comodidad tiene un precio.

Con más de 15 mil millones de teléfonos celulares en el mundo, no es de extrañar que actores maliciosos recurran a dispositivos móviles para robar datos e información privada. El teletrabajo y la cultura BYOD han facilitado aún más el acceso de los hackers a empleados empresariales. Uno de los ataques más dañinos es el phishing móvil o "mishing".

Los ataques de phishing existen desde mediados de la década de 1990, cuando originalmente se dirigían a correos electrónicos. Hoy en día, son más sofisticados y se están volviendo más comunes en dispositivos móviles. La alta frecuencia con la que ocurren los ataques de phishing móvil implica más trabajo para... equipos del centro de operaciones de seguridad (SOC) Para gestionar. Continúe leyendo para obtener más información sobre la creciente amenaza del phishing móvil y cómo abordarlo.

¿Qué es el phishing móvil?

El phishing móvil es un tipo de ataque de phishing que utiliza dispositivos móviles, como teléfonos inteligentes y tabletas, para enviar contenido malicioso. Históricamente, los ataques de phishing se han llevado a cabo a través de mensajes de correo electrónico y páginas web. Sin embargo, a medida que internet se ha vuelto cada vez más compatible con dispositivos móviles y las personas pasan más tiempo en sus teléfonos que nunca (por ejemplo, los estadounidenses pasan casi... 4,8 horas al día en sus teléfonos inteligentes), los ciberdelincuentes han dirigido su atención a esta nueva vía para victimizar a los usuarios.

Los ataques de phishing móvil pueden ser más difíciles de detectar porque van más allá del phishing por correo electrónico. Los ataques basados en SMS (smishing), las llamadas de voz maliciosas (vishing) y el phishing basado en aplicaciones han aumentado enormemente en popularidad y gravedad. Y son más difíciles de defender porque están diseñados específicamente para dispositivos móviles y dependen de la confianza en las aplicaciones legítimas que ya usas habitualmente.

• Mensajes de texto/SMS: los mensajes de texto de phishing comúnmente se hacen pasar por aplicaciones bancarias, proveedores de envío y Incluso tu director ejecutivo.

• Mensajes de voz: son más que la garantía extendida de su automóvil, los ataques de vishing imitarán al IRS, a los proveedores de préstamos y más.

• Facebook Messenger: tenga cuidado con los enlaces sospechosos en los mensajes, Incluso de tus amigos de Facebook.

• WhatsApp: los ataques pueden tener como blanco a las víctimas dentro de la aplicación y por correo electrónico.

Diferentes técnicas de phishing móvil

Las estrategias de phishing móvil emplean técnicas engañosas para engañar a los usuarios de dispositivos móviles y conseguir que divulguen información confidencial. Los métodos más comunes incluyen:

1. Relleno de URL: los ciberdelincuentes utilizan dominios dentro de URL largas, ocultando sitios maliciosos.
2. URL pequeñas: los atacantes utilizan enlaces acortados para realizar phishing por SMS (smishing) en ataques a gran escala.
3. Superposiciones de pantalla: las aplicaciones de phishing imitan a las aplicaciones móviles para robar las credenciales de autenticación del usuario, especialmente las aplicaciones de pago y banca móvil.
4. Verificación móvil: los sitios de phishing verifican el tipo de dispositivo para implementar ataques específicos para dispositivos móviles.
5. Suplantación de SMS (OTA): mensajes de texto falsos aparecen como actualizaciones del sistema y engañan a los usuarios para que hagan clic en enlaces que pueden interceptar datos.

Estas tácticas explotan las vulnerabilidades de los dispositivos móviles, haciendo que los usuarios sean más susceptibles a las técnicas de phishing por teléfono.

Mishing vs. Phishing

La diferencia entre el phishing móvil y el phishing tradicional radica en la forma de envío. Mientras que los correos electrónicos de phishing tradicionales se envían por correo electrónico, el phishing móvil aprovecha el hecho de que muchas personas usan sus teléfonos para realizar operaciones bancarias, compras y negocios. Esta amplia superficie de ataque incluye mensajes de texto, llamadas telefónicas, mensajes de voz, aplicaciones y redes sociales. Si bien la forma de envío puede ser la principal diferencia, también hay otros elementos clave a considerar.

El auge del phishing en teléfonos móviles

• 74% de empresas se enfrentaron a ataques smishing el año pasado.

• En 2021, el 61% de las empresas encuestadas sufrieron ataques de phishing en las redes sociales.

• 51% de organizaciones Permitir a los empleados acceder a las aplicaciones corporativas en sus dispositivos móviles personales.

• Los ataques de phishing en dispositivos móviles han crecido a un ritmo constante de 85% anualmente.

• 42% de las organizaciones informan que las vulnerabilidades en dispositivos móviles y aplicaciones web han provocado un incidente de seguridad.

• 75% de los sitios de phishing estaban dirigidos específicamente a dispositivos móviles.

• Según datos de la Universidad de Nottingham, en Internet hay casi 75 veces más sitios de phishing que de malware. Navegación segura de Google.

• El Banco de Irlanda fue obligado a pagar 800.000 euros a 300 clientes del banco como resultado de un solo ataque smishing.

• En 2024, 80% de sitios de phishing Ahora apuntan específicamente a dispositivos móviles, mostrando un aumento significativo en los ataques centrados en dispositivos móviles.
• El coste medio de un ataque de phishing móvil exitoso a una empresa es ahora $4,5 millones.
  

Lista de verificación para protegerse contra el phishing móvil

Las estafas de phishing móvil ocurren constantemente, así que asegúrese de que su defensa esté siempre preparada. Aquí hay algunas áreas a considerar para su defensa y respuesta contra el phishing:

1. Educar a los empleados: La prevención es su mejor defensa. Asegúrese de que la seguridad contra el phishing móvil se incluya en la capacitación regular de seguridad para empleados. Resalte las señales de alerta comunes y ejemplos reales para que los empleados sepan a qué prestar atención. Establecer una cultura de seguridad prioritaria dentro de su organización puede reducir el número de ataques de phishing exitosos.

2. Recopilar evidenciaAnima a tus empleados a enviar capturas de pantalla de cualquier texto, mensaje o correo electrónico malicioso desde el dispositivo móvil atacado (y recuérdales que bloqueen al remitente). Si un empleado es víctima de un intento de phishing, es fundamental saber cómo fue el ataque.

3. Analizar datos: Su equipo de seguridad puede identificar rápidamente las tendencias de ataque una vez recopilados suficientes datos. Por ejemplo, si observa un aumento en los ataques de smishing que suplantan la identidad del director ejecutivo, es una excelente oportunidad para enviar alertas de seguridad a toda la empresa.

4. Tener una Plan de respuesta a incidentes: ¿Algún empleado hizo clic en un enlace malicioso o compartió información privada? Entonces, es hora de actuar: active sus procedimientos de IR. Asegúrese de que su equipo tenga documentación de los pasos a seguir: desde poner en cuarentena los dispositivos hasta buscar en los sistemas internos y revisar los registros de otros usuarios afectados.

5. Establecer una política BYOD: Creando una Traiga su propio dispositivo La política es una necesidad, ya sea presencial, híbrida o remota. Incluya parámetros en torno a salida de empleados, pérdida y robo del dispositivo y actualizaciones del dispositivo.

Clasificación de phishing con herramientas modernas: 
Automatización de la seguridad

Los ataques de phishing móvil seguirán creciendo en frecuencia y sofisticación. El teletrabajo y nuestra dependencia de los dispositivos móviles los intensificarán aún más. Y con los equipos de seguridad recibiendo miles de alertas diarias, los líderes buscan opciones para anticiparse a las amenazas de phishing.

Las plataformas de automatización de seguridad ofrecen soluciones para combatir el aumento de los ataques de phishing móvil. Los beneficios de la automatización incluyen:

• Ahorre tiempo al analista del SOC con investigación y cuarentena automáticas

• Obtenga visibilidad de los intentos de phishing desde el panel de control

• Bloquee los falsos positivos con un flujo de trabajo totalmente automatizado

• Aumente la eficiencia con la colaboración de casos en tiempo real

• Mejorar las métricas de seguridad, como la reducción del tiempo medio de resolución (MTTR)

El objetivo de añadir automatización es capacitar a los equipos del SOC para detener más amenazas con mayor rapidez. Estas plataformas automatizan las tareas repetitivas y rutinarias que consumen tiempo de los analistas del SOC.

Ya sea que implemente la automatización de la seguridad en su SOC o establezca un proceso manual de respuesta a incidentes (IR), el phishing móvil debe estar en su radar de amenazas. Capacite a sus empleados, proteja la creciente superficie de ataque y cuente con un proceso de respuesta a incidentes exhaustivo.

Preguntas frecuentes sobre phishing móvil

¿Cómo buscar números de phishing móviles?

Puede buscar números móviles de phishing mediante servicios de búsqueda inversa de números telefónicos en línea o aplicaciones móviles diseñadas para identificar y denunciar llamadas de spam o phishing. Estos servicios pueden ayudarle a identificar si un número ha sido denunciado por actividad sospechosa o fraudulenta.

¿Se puede realizar phishing desde los iPhone?

Los ataques de phishing pueden afectar a los iPhones. Estos ataques se basan en técnicas de ingeniería social para engañar a los usuarios, independientemente del dispositivo que utilicen. Los iPhones también pueden recibir correos electrónicos, mensajes de texto o acceder a sitios web de phishing. Es importante ser precavido y seguir las mejores prácticas de seguridad en línea.

¿Puede el phishing hackear tu teléfono?

El phishing puede comprometer la seguridad de tu teléfono. Los ataques de phishing buscan engañar a los usuarios para que revelen información personal o descarguen software malicioso. Si tienen éxito, estos ataques pueden provocar el robo de datos, el acceso no autorizado o el control de tu dispositivo.

¿Qué es Mishing en ciberseguridad? 

El mishing (phishing móvil) es un ciberataque en el que los estafadores utilizan SMS o aplicaciones de mensajería para engañar a los usuarios para que revelen información confidencial, hagan clic en enlaces maliciosos o descarguen malware.

¿Qué otros tipos de ataques de phishing puedes encontrar en dispositivos móviles?

Además de los errores tipográficos, los usuarios móviles pueden enfrentarse a:

• Smishing – Phishing basado en SMS/texto
• Quishing – Suplantación de identidad (phishing) basada en códigos QR
• Vishing – Phishing de llamadas de voz
• phishing basado en aplicaciones – Aplicaciones maliciosas que roban datos

¿En qué se diferencia la seguridad contra el phishing en dispositivos móviles de la de computadoras y portátiles?

El phishing móvil se aprovecha de SMS, aplicaciones de mensajería y códigos QR, lo que dificulta su detección en comparación con el phishing tradicional por correo electrónico. Además, los dispositivos móviles tienen pantallas más pequeñas y herramientas de seguridad limitadas, lo que aumenta el riesgo de clics accidentales en enlaces maliciosos.