Anatomía de un ataque phishing

Actualmente, resulta algo normal disponer de una cuenta de email, hasta incluso ya es algo casi obligatorio para determinados casos, como por ejemplo usar un teléfono con Android o con IOS. Además, no disponemos de una sola cuenta, sino que tener 2 o 3 cuentas de correo electrónico resulta algo habitual, y eso no es nada negativo, pero como veremos a continuación, la principal puerta de entrada del phishing es a través de nuestro servicio de email y por ello, es conveniente saber reconocer este tipo de ataques. Así que te invito a que me acompañes en esta disección detallada a través de algunos ejemplos reales.

<<la principal puerta de entrada del phishing es a través de nuestro servicio de email>>

🤔¿Qué es un phishing?

El phishing es una técnica malintencionada que implica el envío de un correo electrónico que suplanta la identidad de una entidad de confianza, como nuestro banco, una red social, una agencia gubernamental, una empresa conocida o un servicio en el que estemos registrados. El objetivo de los ciberdelincuentes que utilizan esta técnica es recopilar toda la información personal y bancaria posible, como contraseñas de usuario, direcciones, datos de tarjetas de crédito, entre otros, con el fin de realizar cargos económicos o infectar el dispositivo del destinatario del correo electrónico.

Para ello, el modus operandi más habitual es el de adjuntar archivos infectados con los cuales puedan obtener control de nuestro dispositivo, o también mediante enlaces a páginas fraudulentas que simulan ser las webs legítimas a las cuales están suplantando con la finalidad de hacer creer a la víctima que es segura y obtener sus datos bancarios, personales o contraseñas.

<<el modus operandi más habitual es el de adjuntar archivos infectados o también mediante enlaces a páginas fraudulentas>>

🔍¿Cómo puedo reconocer un phishing?

Tal y como he indicado en el título de este post, vamos a hablar de la "anatomía" general de un ataque de phishing, ya que la gran mayoría de estos comparten la misma forma de actuar y son reconocibles teniendo en cuenta los siguientes puntos.

1- Nuestro gestor de correo lo envía a SPAM

En este primer punto vamos a tener en cuenta, que la gran mayoría de servicios de email gratuitos y de pago, disponen de listas de cuentas fraudulentas (blacklist) y son capaces de detectar mucha parte de este tipo de correos y enviarlos directamente a la carpeta spam. Esto ya es el primer paso para sospechar de su veracidad, no obstante podría darse el caso que un email legítimo acabe en esta carpeta, con lo cual, ante la duda, la estrategia de confianza cero (zero trust) será nuestra mejor aliada.

Por otro lado, también podría darse el caso de que nuestro gestor de correo no tenga un sistema antispam tan elaborado y, por lo tanto, muchos de estos correos nos lleguen a nuestra bandeja de entrada. Para ello tendremos en cuenta los siguientes puntos.

2- Mensaje del asunto que genera alarmismo

Tal y como se puede comprobar en la anterior imagen, los mensajes del asunto y el formato tratan de llamar la atención, pero de forma negativa, es decir, pretenden generar miedo y urgencia. El patrón que suele repetirse es el de "URGENTE" el cual pretende generar una reacción inmediata, ya que quiere hacernos creer que "algo no va bien".

Podemos observar en esta imagen, como intentan generar confusión con mensajes que generan alarma y acción inmediata por parte de la víctima.

3- Remitente del mensaje

La gran mayoría de casos, hacen servir remitentes que se asemejan mucho a las entidades que intentan suplantar. El caso más habitual es poner como nombre de remitente la organización que se está suplantando de tal forma que al visualizarlo desde un teléfono, de la sensación de real. Hay que tener en cuenta, que de forma predeterminada, no acostumbra a verse el remitente de forma directa desde el teléfono, para poder visualizar la dirección de email del remitente, ha de hacerse de forma explícita tal y como se muestra en la siguiente imagen.

Si observamos el remitente de este ejemplo, podemos ver que ya nos llama la atención muchísimo, en primer lugar por el dominio del que procede, que es un conjunto de números y letras extraño. Por otro lado, el uso del servicio monsterindia es otra señal de alerta, ya que nos indica que proviene de un país con legislaciones diferentes a la UE.

Por último, el mensaje no fue cifrado, la cual cosa también es un indicador de que el mensaje es un fraude, ya que cualquier entidad u organización debe cumplir la legislación de protección de datos, y el cifrado de mensajes, forma parte de una de las muchas medidas a adoptar.

4- Ortografía, redacción y logos

Otra de las características de este tipo de ataques son las faltas ortográficas y la forma de redacción, las cuales son consecuencia de las traducciones a diversos idiomas.

También es muy habitual ver logos de las empresas con formatos extraños o mal dimensionados. Eso es porque acostumbran a hacer simples capturas de pantalla de los logos y los colocan en el mensaje sin tener en cuenta el aspecto ni el tamaño.

5- Enlaces maliciosos

La forma en la que se suele llevar a cabo el ataque de phishing se resume básicamente en que la víctima pinche al enlace que tiene el email. Estos enlaces acostumbran a realizar 2 tipos de acciones:

5.1- Ejecutar código malicioso para infectar a la víctima: en este caso, al pinchar en el link se redirige hacia un malware que está hospedado en una web infectada o un servicio de almacenamiento gratuito, y una vez descargado se ejecuta y se procede a la infección.

De echo, podemos comprobar dicho enlace en virustotal, y este nos indica que es phishing, aunque en este caso, se observa que es bastante reciente, ya que solamente ha sido detectado por 2 de los 89 servicios.

2- Acceso a web falsa suplantada: esta situación pretende robar credenciales del usuario para posteriormente acceder a sus servicios y robar datos personales o dinero.

Como se puede observar, el nombre de dominio incorpora caracteres para confundir a la víctima y, además, no dispone de certificado SSL. Estos serían los 2 indicadores claros de web suplantada. Aunque pueda parecer muy evidente, en muchos casos suele pasar muy desapercibido, y una vez introducimos nuestras credenciales, la web falsa nos redirige a la web legítima para que no sospechemos del robo.

6- Archivos adjuntos dudosos

Por último, podemos encontrar muchos ataques de phishing que incluyan un archivo adjunto. Generalmente este archivo puede estar comprimido, ya que los archivos ejecutables son bloqueados por los servidores de correo.

También suelen ser habituales archivos .doc o .xls con macros maliciosas. En este caso, al abrir el archivo, si se permite el uso de macros, se ejecutará la descarga del malware en segundo plano, llevando a cabo la infección de la víctima.

🛡️¿Cómo me protejo?

La gran mayoría de campañas de phishing acostumbran a ser "fácilmente" detectables, ya que están muy poco elaboradas y los principales proveedores de correo electrónico tienen estas direcciones blacklisteadas. No obstante, existen campañas que están mejor elaboradas y con los detalles más cuidados, en este caso, si sospechamos estar delante de un email de phishing debemos:

• No acceder al mensaje en cuestión
• No pinchar en ningún enlace de dicho mensaje
• Eliminarlo
• Si te llega al email corporativo, avisar al administrador de sistemas para que pueda aplicar medidas para el filtrado spam.
• No descargar ningún archivo del mensaje y, en general, que no se conozca con gran certeza que es de confianza.
• Usar el sentido común (si sospechamos quizás sea por algo...)

Por último, si hemos sido víctimas de un phishing:

• Cambiar las contraseñas de los servicios importantes
• Activar segundo factor de autenticación (si no lo estuviera)
• Si es posible, en caso de particular, formatear el PC. En caso de PC corporativo, avisar al administrador de sistemas.
• Si se ha vulnerado una cuenta bancaria, avisar al banco para proceder a anular tarjetas y cuentas afectadas

✅Conclusiones

Como hemos podido ver y analizar, estos emails de phishing en concreto, son bastante "burdos", pero aun y así juegan con el porcentaje estadístico de clic en el enlace malicioso, ya que al ser campañas muy masivas, podemos hablar que con una tasa única de éxito de un 5% por ejemplo, representa que de cada 100 emails enviados, 5 personas son infectadas. Teniendo en cuenta que hablamos de miles de emails enviados de forma diaria, este número aumentaría alarmantemente.

<<el año pasado (2022), más de la mitad (54%) de los ataques de phishing que tuvieron éxito terminaron en una violación de los datos de los clientes, y el 48% acabó con las credenciales y cuentas comprometidas>> Fuente: computerworld.

Aún y parecer muy evidente y fácil de detectar, de vez en cuando aparecen campañas mejor elaboradas y más difíciles de detectar, y en estas es en las que debemos mantener la estrategia de confianza cero y utilizar el sentido común. Hay que estar muy alerta en campañas especiales como por ejemplo, durante la renta (en España) donde suelen aparecer ataques dirigidos con este motivo.

Por último, y para evitar daños mayores en caso de ser atacados, disponer de copias de seguridad de nuestros datos importantes, tanto en la nube como en dispositivos no conectados, nos facilitará el proceso de recuperación.

PD: Si te gusta este tipo de contenido, puedes considerar suscribirte a mi newsletter para estar al día de las últimas novedades sobre ciberseguridad, cloud e industria 4.0.