Kit de phishing

Un kit de phishing es una colección de herramientas de software que facilita a las personas con poca o ninguna habilidad técnica lanzar un exploit de phishing. El phishing es un tipo de estafa en Internet en la que el perpetrador envía correos electrónicos o mensajes de texto falsificados que parecen provenir de una fuente legítima. El objetivo es engañar al destinatario para que realice una acción específica que beneficiará al atacante; por lo general, esto implica hacer que la víctima haga clic en un enlace malicioso, abra un archivo adjunto infectado o autorice una transferencia de fondos.

Un kit de phishing generalmente incluye software de desarrollo de sitios web que tiene una interfaz gráfica de usuario (GUI) simple, de código bajo / sin código. Este tipo de kit de crimeware generalmente viene completo con plantillas de correo electrónico, gráficos y scripts de muestra que se pueden usar para crear imitaciones convincentes de correspondencia legítima. Por un precio adicional, algunos kits también pueden incluir listas de direcciones de correo electrónico, números de teléfono y software para automatizar el proceso de distribución de malware.

Los expertos en seguridad recomiendan que los usuarios se abstengan de hacer clic en enlaces en mensajes inesperados que pretenden ser de un sitio con el que tienen tratos financieros. Si no está seguro de si un mensaje es válido, los usuarios deben ir directamente al sitio oficial y buscar información allí, o comunicarse con el departamento de servicio al cliente del sitio.

Kits de phishing como servicio (kits de PaaS)

Según Cyren, un proveedor de seguridad SaaS, los kits de phishing como servicio basados ​​en la nube están disponibles en la web oscura por tan solo 50 dólares al mes. Cuando los sitios web de phishing se alojan en servicios legítimos de nube pública, los delincuentes pueden presentar dominios legítimos y certificados SSL, lo que puede engañar incluso al usuario final más experimentado para que piense que una determinada página web o correo electrónico de phishing es confiable.

Explotaciones de seguridad populares

Los kits de phishing se utilizan a menudo para llevar a cabo las siguientes vulnerabilidades de seguridad cibernética:

Spear phishing: un ataque de suplantación de identidad de correo electrónico que se dirige a una organización o individuo específico, buscando acceso no autorizado a información confidencial.

Caza de ballenas: un tipo específico de ataque de phishing que se dirige a empleados de alto perfil, como el CEO o el CFO.

SMiShing: un ataque de seguridad en el que se envía al usuario un mensaje de texto diseñado para engañarlo para que descargue un troyano, virus u otro malware.

Vishing: una táctica de fraude electrónico realizada por correo electrónico de voz, VoIP (voz sobre IP), teléfono fijo o teléfono celular.