Es una variante del «phishing» que, detectada en 2011, se caracteriza por ser un tipo de ciberataque en el que siempre media el envío de un correo electrónico dirigido a uno o varios objetivos concretos.
La finalidad, obtener números de tarjeta de crédito y cuentas bancarias, contraseñas…
En definitiva, la información financiera almacenada en nuestros equipos informáticos.
Habitualmente, el «hacker» para el envío del correo suplanta la identidad de alguien conocido por la víctima para hacer del mensaje un contenido personalizado y ganar, así, la confianza de la víctima.
Y es que si recibimos un mensaje de alguien cercano o de una empresa que conocemos que nos solicita que hagamos algún trámite con cierta urgencia, es seguro que estaremos mucho menos atentos a que se trata de una amenaza y proporcionaremos la información que nos solicitan.
Pero estos correos electrónicos que aparentan ser de una persona o empresa conocida, suelen llevar incorporado un enlace a un sitio malicioso o bien un documento adjunto también malicioso.
A partir de 2012, según la firma FireEyre, se comenzaron a usar de manera significativa dominios de uso limitado, es decir, dominios maliciosos que los ciberdelincuentes envían unas 10 veces o menos en correos dirigidos. Con ello se consigue evitar los filtros basados en firmas y reputación, ya que estos dominios pasan desapercibidos para las denominadas listas negras de URL.
Con ayuda de diversas técnicas de ingeniería social, el ciberatacante tratará de engañar a la víctima para que visite el enlace malicioso incorporado en el correo o abra el documento anexado.
Además, previamente, ha habido una fase de recopilación de información de usuarios y empresas que los ciberdelincuentes obtienen tanto a través de las redes sociales más comunes como de foros.
Junto a estos medios, se suman herramientas específicas para este tipo de recolección de información como son Maltego o la Foca.
Como señala el Instituto Nacional de Ciberseguridad (INCIBE), la herramienta Foca, por ejemplo, permite extraer metadatos de gran variedad de documentos publicados que serán muy valiosos para el posterior ataque: IPs privadas, direcciones de correo, software utilizado, nombres de usuario…etc.
