Cierto, aunque ya sabemos qué es el phishing, vamos a conocer la nueva variante: el phishing de consentimiento.

 

Sin duda, sabemos que phishing adopta muchas variantes según el medio utilizado para engañar a las víctimas.

Desde phishing al vishing pasando por el smishing, las tres técnicas pueden actuar por si solas o combinadas.

Aunque se acaba de descubrir una nueva variante, el phishing de consentimiento.

Las técnicas de phishing serán infinitas, cada vez mejores, peores y distintas a las anteriores.

Por supuesto, conocer de que va el phishing, nos permite defendernos y protegernos de las amenazas.

 

Vamos a ver a continuaciónde qué va el phishing de consentimiento.

 

Con el phishing de consentimiento, el objetivo del atacante es intentar obtener nuestros token de autenticación.

Mediante cuadros de diálogo y enlaces, tienen por objetivo obtener el consentimiento de la víctima.

 

A continuación, vamos a ver cuáles son las características de un ataque de phishing de consentimiento:

 

Aquí está la clave, los atacantes usaran la ingeniería social para suplantar la identidad de alguna aplicación legitima en la nube.

Ya sea Amazon AWS, Microsoft, Google o similar.

Con ello trataran que el destinatario haga clic en el enlace incrustado en el cuerpo del mensaje de correo enviado con la excusa de actualizar sus datos de acceso.

Una vez obtenido el consentimiento, de aquí la palabra phishing de consentimiento,  se habrá concedido permisos a una aplicación maliciosa que será la que administre los datos.

A menudo incluyen también la solicitud de un cambio de contraseña.

La mejor forma de protegerse del phishing de consentimiento, es revisar los enlaces de los correos electrónicos recibidos, antes de hacer clic.

 

Y ¿qué más deberíamos hacer para protegernos del phishing de consentimiento?

 

Revisar los permisos otorgados a cualquiera de las redes sociales y aplicaciones, desde Google, Microsoft, Amazon, Facebook, Twitter.

Eliminar los consentimientos y permisos otorgados a aplicaciones de terceros, aun pareciendo legítimos. Una vez eliminados, si ha sido por error, ya podrás otorgarlos de nuevo.

Revisar los permisos y las autorizaciones de descargas de aplicaciones de terceros y configurar para que sean siempre procedentes de editores de confianza.

En el ámbito de la empresa, es tarea del administrador de sistemas revisar las autorizaciones y revocaciones de permisos de aplicaciones de terceros.

Otra de las mejores soluciones es instalar métodos que permitan autenticar a las aplicaciones, como Auth y por supuesto también Yubico, con las mejores soluciones de llaves de seguridad.

Sin olvidar la necesidad de realizar cursos de formación a todos los usuarios de la empresa, sin exclusión.

Enseñar a todos los usuarios que,  otorgar permisos de acceso a una aplicación puede suponer (y a menudo supone) una amenaza para la información de la empresa.

Por tanto, revisar siempre los permisos solicitados antes de hacer clic en un enlace o en un phishing de consentimiento e incluso negarse, puede ser la mejor medida de seguridad para la empresa, incluyendo rechazar las cookies de todas las páginas visitadas.