“ ¡ Felicitaciones^{(Congratulations)} ! Has ganado n millones de dólares^(Dollars) . Envíanos tus datos bancarios.” Si está en Internet , es posible que haya visto dichos correos electrónicos en su bandeja de entrada o en su buzón de correo no deseado. Dichos correos electrónicos se denominan phishing: un delito cibernético en el que los delincuentes utilizan la tecnología informática para robar datos de las víctimas, que pueden ser personas físicas o jurídicas. Esta hoja de trucos de phishing^{(Phishing cheat sheet)} es un intento de brindarle el máximo conocimiento sobre este delito cibernético para que no se convierta en una víctima del delito. También discutimos los tipos de Phishing^{(types of Phishing)} .

¿Qué es el phishing?

El phishing es un delito cibernético en el que los delincuentes atraen a las víctimas, con la intención de robar los datos de la víctima, utilizando correos electrónicos y mensajes de texto falsos. Principalmente, se realiza mediante campañas masivas de correo electrónico. Usan identificaciones^(IDs) de correo electrónico temporales y servidores temporales, por lo que a las autoridades les resulta difícil atraparlos. Tienen una plantilla general que se envía a cientos de miles de destinatarios para que al menos algunos puedan ser engañados. Aprenda a identificar los ataques de phishing^{(how to identify phishing attacks)} .

¿Por qué se llama phishing?

Tú sabes de pesca. En la pesca de la vida real, el pescador coloca un cebo para poder atrapar peces cuando estos últimos están enganchados a la caña de pescar. También en Internet , utilizan un cebo en forma de mensaje que puede ser convincente y parece genuino. Dado que los delincuentes usan un cebo, se llama phishing. Significa pesca de contraseñas, que ahora se conoce como phishing.

El cebo podría ser una promesa de dinero o cualquier bien que pudiera obligar a cualquier usuario final a hacer clic en el cebo. A veces, el cebo es diferente (por ejemplo, amenaza o urgencia) y llama a la acción, como hacer clic en enlaces que dicen que debe volver a autorizar su cuenta en Amazon , Apple o PayPal .

¿Cómo se pronuncia phishing?

Se pronuncia como PH-ISHING. 'PH'as en Pesca .^(F)

¿Qué tan común es el phishing?

Los ataques de phishing son más comunes que el malware. Esto quiere decir que cada vez más ciberdelincuentes se dedican al phishing en comparación con aquellos que difunden malware mediante correos electrónicos, sitios web falsos o anuncios falsos en sitios web genuinos.

En estos días, los kits de phishing se venden en línea, por lo que prácticamente cualquier persona con algún conocimiento de redes puede comprarlos y usarlos para tareas ilegales. Estos kits de phishing ofrecen todo, desde la clonación de un sitio web hasta la compilación de un mensaje de texto o correo electrónico convincente.

tipos de phishing

Hay muchos tipos de phishing. Algunos de los más populares son:

1. Los correos electrónicos regulares generales^(General) que le solicitan sus datos personales son la forma más utilizada de phishing
2. suplantación de identidad
3. estafas de caza de ballenas
4. Smishing (phishing por SMS) y Vishing
5. Estafas QRishing
6. Tabnabing

1] Suplantación de identidad general

En su forma más básica de phishing, encuentra correos electrónicos y mensajes de texto que le advierten sobre algo y le piden que haga clic en un enlace. En algunos casos, te piden que abras el archivo adjunto en el correo electrónico que te enviaron.

En la línea de asunto del correo electrónico, los ciberdelincuentes lo atraen para que abra el correo electrónico o el mensaje de texto. A veces, el asunto es que una de sus cuentas en línea necesita actualizarse y parece urgente.

En el cuerpo del correo electrónico o mensaje de texto, hay información convincente que es falsa pero creíble y luego termina con un llamado a la acción: le pide que haga clic en el enlace que proporcionan en el correo electrónico o mensaje de phishing. Los mensajes de texto^(Text) son más peligrosos porque usan URL^(URLs) abreviadas cuyo destino o enlace completo no se puede verificar sin hacer clic en ellos cuando los lee en el teléfono. Puede haber alguna aplicación en cualquier lugar que pueda ayudar a verificar la URL completa , pero aún no conozco ninguna.

2] Suplantación de identidad con lanza

Se refiere al phishing dirigido donde los objetivos son empleados de casas comerciales. Los ciberdelincuentes obtienen las identificaciones^(IDs) de sus lugares de trabajo y envían correos electrónicos de phishing falsos a esas direcciones. Aparece como un correo electrónico de alguien en lo más alto de la escala corporativa, creando suficiente prisa para responderles... ayudando así a los ciberdelincuentes a entrar en la red de la casa comercial. Lea todo sobre el phishing selectivo^{( spear phishing)} aquí. El enlace también contiene algunos ejemplos de spear phishing.

3] Caza de ballenas

La caza de ballenas^(Whaling) es similar al spear phishing. La única diferencia entre Whaling y Spear phishing es que el spear phishing puede dirigirse a cualquier empleado, mientras que el ballenero se utiliza para apuntar a ciertos empleados privilegiados. El método es el mismo. Los ciberdelincuentes obtienen las identificaciones^(IDs) de correo electrónico oficiales y los números de teléfono de las víctimas y les envían un correo electrónico o un mensaje de texto convincente que implica algún llamado a la acción que podría abrir la intranet corporativa^{(corporate intranet)} para dar acceso por la puerta trasera. Obtenga más información sobre los ataques de phishing Whaling^{(Whaling phishing attacks)} .

4] Smishing y Vishing

Cuando los ciberdelincuentes utilizan el servicio de mensajes cortos ( SMS ) para obtener datos personales de las víctimas, se conoce como SMS phishing o Smishing para abreviar. Lea acerca de los detalles de Smishing y Vishing .

5] Estafas QRishing

Los códigos QR no son nuevos. Cuando se supone que la información debe mantenerse breve y secreta, los códigos QR son los mejores para implementar. Es posible que haya visto códigos QR en diferentes pasarelas de pago, anuncios bancarios o simplemente en WhatsApp Web . Estos códigos contienen información en forma de un cuadrado con negro esparcido por todas partes. Dado que no se sabe qué información proporciona un código QR, siempre es mejor mantenerse alejado de las fuentes desconocidas de los códigos. Es decir, si recibe un código QR en un correo electrónico o un mensaje de texto de una entidad que no conoce, no los escanee. Obtenga más información sobre las estafas QRishing en teléfonos inteligentes.

6] Tabulación

Tabnabbing cambia una página legítima que estabas visitando, a una página fraudulenta, una vez que visitas otra pestaña. Digamos:

1. Navegas a un sitio web genuino.
2. Abres otra pestaña y navegas por el otro sitio.
3. Después de un rato, vuelves a la primera pestaña.
4. Será recibido con nuevos datos de inicio de sesión, tal vez en su cuenta de Gmail .
5. ¡Inicia sesión de nuevo, sin sospechar que la página, incluido el favicon, ha cambiado a tus espaldas!

Esto es Tabnabbing , también llamado Tabjacking .

Hay algunos otros tipos de phishing que no se usan mucho hoy en día. No los he nombrado en este post. Los métodos utilizados para el phishing siguen añadiendo nuevas técnicas al delito. Conoce los diferentes tipos de ciberdelitos si te interesa.

Identificación de correos electrónicos y textos de phishing

Si bien los ciberdelincuentes toman todas las medidas para engañarlo para que haga clic en sus enlaces ilegales para poder robar sus datos, hay algunos indicadores que dan el mensaje de que el correo electrónico es falso.

En la mayoría de los casos, los tipos de phishing usan un nombre familiar para usted. Puede ser el nombre de cualquier banco establecido o cualquier otra casa corporativa como Amazon , Apple , eBay, etc. Busque la ID de correo electrónico.

Los delincuentes de phishing no utilizan correo electrónico permanente como Hotmail , Outlook y Gmail , etc., proveedores de alojamiento de correo electrónico populares. Utilizan servidores de correo electrónico temporales, por lo que cualquier cosa que provenga de una fuente desconocida es sospechosa. En algunos casos, los ciberdelincuentes intentan suplantar las identificaciones^(IDs) de correo electrónico utilizando un nombre comercial; por ejemplo, [email protected] La identificación de correo electrónico contiene el nombre de Amazon , pero si mira más de cerca, no es de los servidores de Amazon sino de algún correo electrónico falso. servidor .com.

Por lo tanto, si un correo de http://axisbank.com proviene de una identificación de correo electrónico que dice [email protected] , debe tener cuidado. Además, busque errores ortográficos. En el ejemplo de Axis Bank , si el ID de correo electrónico proviene de axsbank.com, es un correo electrónico de phishing.

PhishTank lo ayudará a verificar o denunciar sitios web de phishing

Precauciones para el phishing

La sección anterior habló sobre la identificación de correos electrónicos y textos de phishing. En la base de todas las precauciones está la necesidad de verificar el origen del correo electrónico en lugar de simplemente hacer clic en los enlaces del correo electrónico. No proporcione sus contraseñas y preguntas de seguridad a nadie. Mire el ID de correo electrónico desde el que se envió el correo electrónico.

Si es un mensaje de texto de un amigo, es posible que desee confirmar si realmente lo envió. Podrías llamarlo y preguntarle si envió un mensaje con un enlace.

Nunca haga clic en enlaces en correos electrónicos de fuentes que no conoce. Incluso para los correos electrónicos que parecen genuinos, supongamos que de Amazon , no haga clic en el enlace^{(do not click on the lin)} . En su lugar, abra un navegador y escriba la URL de Amazon . Desde allí, puede verificar si realmente necesita enviar algún detalle a la entidad.

Aparecen algunos enlaces que dicen que debe verificar su registro. Mira si te registraste en algún servicio recientemente. Si no puede recordar, olvide el enlace del correo electrónico.

¿Qué pasa si hago clic en un enlace de phishing?

Cierra el navegador inmediatamente. No toque ni introduzca ninguna información en caso de no poder cerrar el navegador, como en el navegador predeterminado de algunos teléfonos inteligentes. Cierre manualmente cada pestaña de dichos navegadores. Recuerde^(Remember) no iniciar sesión en ninguna de sus aplicaciones hasta que ejecute un análisis con BitDefender o Malwarebytes . También hay algunas aplicaciones pagas que puedes usar.

Lo mismo ocurre con las computadoras. Si hace clic en un enlace, se iniciará el navegador y aparecerá algún tipo de sitio web duplicado. No toque ni toque en ninguna parte del navegador. Simplemente^(Just) haga clic en el botón Cerrar navegador o use el Administrador de tareas de Windows^{(Windows Task Manager)} para cerrarlo. Ejecute un análisis antimalware antes de usar otras aplicaciones en la computadora.

Leer^(Read) : ¿Dónde denunciar sitios web de estafas en línea, spam y phishing ?

Comente y háganos saber si olvidé algo en esta hoja de trucos de phishing.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Congratulations! You have won n million Dollars. Send us yoυr bank details.” If you are on Internet, you might have seen such emails in your inbox or junk mailbox. Such emails are called phishіng: a cyber-crime wherein criminals use computer technology to steal data from victims that can bе individuals or corporate businesѕ houses. Thiѕ Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• ¿Cómo evitar Phishing Scams and Attacks?

• ¿Qué son las estafas de ballenas y cómo proteger su empresa?

• ¿Qué es el phishing y cómo identificar ataques de phishing?

• ¿Qué están estacionados Domains and Sinkhole Domains?

• Avoid Online Shopping Fraud & Holiday Season Scams

• 5 cosas geniales que puedes hacer con la aplicación Automator en macOS

• ¿Debo comprar o construir una PC? 10 cosas a considerar

• ¿Apple Pay no funciona? 15 cosas para probar

• Conozco su contraseña. Sextsthes está de vuelta con más poder

• Zapier SMS: 5 Cool Things puedes hacer

• ¿Qué es el phishing lanza? Explicación, Examples, Protection

• Microsoft Excel abre A Blank Sheet en lugar del archivo

• Cosas útiles que no sabías que podías hacer con Back Tap en el iPhone

• ¿Las llamadas Wi-Fi no funcionan en Android? 9 cosas para probar

• 13 cosas geniales que puedes hacer con Google Chromecast

• ¿Qué hacer cuando tu Mac se congela? 9 cosas para probar

• ¿Los widgets de Windows 11 no funcionan? 7 cosas para probar

• ¿El punto de acceso de Android no funciona? 10 cosas para probar

• Cómo imprimir un Contact Sheet de Photos en Windows 10

• ¿El iPhone se está calentando? 8 arreglos para enfriar las cosas