El phishing se trata del mal tipo y de engañar a la víctima, dice Kevin Mitnick, fundador de Mitnick Security Consulting. Mitnick sabe de tipos malos, solía ser uno de ellos.
Cómo la supuesta suplantación de identidad (phishing) otorga a los atacantes el control total de su equipo. El objetivo de la suplantación de identidad (phishing) es engañar a la víctima y al malhechor, dice Kevin Mitnick, fundador de Mitnick Security Consulting. Mitnick sabe de tipos malos, solía ser uno de ellos.
Dan Patterson de CNET entrevistó a Kevin Mitnick, un antiguo criminal informático muy buscado, y ahora fundador de Mitnick Security Consulting y director de Hacking de la empresa de formación de concienciación de seguridad KnowBe4. Discutió sobre el phishing, el spam y las similitudes, diferencias y peligros de ambos. La siguiente es una transcripción editada de la entrevista. La siguiente es una versión editada de la transcripción.
Campaña 2019: Hacking Electoral es una serie semanal de sitios hermanos de ConsejoTecnologico.com, CBS News & CNET, sobre las ciberamenazas y vulnerabilidades de las elecciones de mitad de período de 2019.
Más información sobre ciberseguridad
Dan Patterson: Kevin, ¿puedes explicarnos cómo funciona el phishing y guiarnos a través de un ataque exitoso?
Kevin Mitnick: Claro, el phishing se trata del malhechor, el atacante, que envía un correo electrónico malicioso a una víctima y engaña a esa persona para que haga clic en un enlace dentro del correo electrónico o abra un archivo adjunto. Y cuando la víctima hace eso, su computadora termina siendo comprometida, y el malware se instala para que el malhechor tenga el control total. Y los ataques de phishing son bastante sofisticados en estos días, así que realmente parece que es el correo electrónico que proviene de un cliente, un proveedor o un vendedor, y la gente se lo cree.
VER: Guía del líder de TI para la seguridad de los grandes datos (Tech Pro Research)
Hay otro tipo de ataque de phishing en el que una víctima puede recibir un correo electrónico. Harán clic en un enlace en un correo electrónico y luego se les presentará una página para iniciar sesión. Y se parecerá, ya sabes, a algo a lo que normalmente se conectan como Gmail, Twitter o Facebook. Y pondrán sus credenciales para iniciar sesión, pero lo que sucede es que se inician la sesión, pero entonces el malo también puede acceder a esas credenciales. ¿Qué quiero decir con credenciales? Es como tu nombre de usuario y contraseña. Por lo tanto, pueden robar su nombre de usuario y contraseña a través de este tipo de ataques de phishing.
Dan Patterson: Kevin, phishing suena mucho a spam, pero me pregunto si podrías decirnos las diferencias entre los dos, y qué quieren los atacantes de phishing.
VER: Phishing y spearphishing: Una hoja de trucos para profesionales de negocios (ConsejoTecnologico.com)
Kevin Mitnick: Bueno, el spam y el phishing son diferentes. Spam son anuncios que se envían a su correo electrónico, que no son deseados, ¿verdad? Y hemos estado lidiando con el problema del spam durante años. El phishing, por otro lado, es cuando un atacante quiere acceder a sus cuentas, quiere comprometer su equipo y su objetivo es muy diferente. El spam consiste en intentar que usted compre un producto o servicio. El phishing consiste en que el malhechor tenga acceso a su ordenador para instalar malware que le permita, por ejemplo, acceder a su cuenta bancaria o algo así.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo