Spear Phishing y cuando tú eres el elegido
Todos hemos oído hablar del phishing, que lleva mucho tiempo siendo una de las técnicas estrella utilizadas por los ciber criminales para conseguir sus objetivos fraudulentos. El phishing no es más que una suplantación de identidad de una persona, organización o servicio, en la que normalmente se utiliza la ingeniería social para ganarse la confianza de la persona atacada y conseguir así su objetivo, que normalmente suele ser un robo de credenciales y/o un fraude económico directo o indirecto.
La mayoría de los ataques de phishing utilizan el correo electrónico como vector de entrada y se ha popularizado su uso porque realmente es una técnica muy fácil de utilizar e incluso un ciberatacante poco experimentado puede sacar rédito de este tipo de ataques lanzando campañas masivas con toolkits comerciales de phishing disponibles en la deep web.
Todos hemos recibido en nuestro buzón de correo en algún momento uno de estos e-mails de phishing de bajo perfil, si queremos llamarlos así. Normalmente suplantan a alguna compañía eléctrica, de mensajería o tecnológicas, bien conocidas, para darle credibilidad al mensaje (Foto 1). Son fáciles de reconocer simplemente leyendo las direcciones de envío o las cabeceras de los emails para detectar que el remitente no es quien dice ser. La mayoría suelen tener un enlace o botón que nos lleva a una web en la que podemos ver un casi perfecto clon de la web original utilizando lo que denomina web spoofing (Foto 2) y donde robarán nuestras credenciales.
Sin embargos estos ataques de phishing comparten un rasgo común y es que no están dirigidos a una persona u organización concreta, el atacante envía cientos de miles de emails idénticos en un corto periodo de tiempo para conseguir que un pequeñísimo porcentaje de usuarios caiga en el engaño y consigan robar sus credenciales e iniciar un posible fraude.
Mencionar que los sistemas modernos de anti phishing disponibles en los firewalls, endpoints y en los proveedores más reputados de correo electrónico suelen parar la mayoría de este tipo de ataques e identificarlos al menos, como sospechosos. Todo ello, unido a una buena campaña de concienciación de los empleados menos tecnológicos suele ser suficiente para mantener a raya estas amenazas.
Sin embargo, por desgracia, hoy en día no todos los ataques de phishing son tan básicos como estos. La tecnología ha avanzado mucho en los últimos años y, también, la que emplean los cibercriminales, que ha evolucionado hasta límites insospechados consiguiendo un nivel de sofisticación y complejidad muy alto. Un ejemplo es lo que se denomina Spear Phishing que no es más que un ataque de phishing diseñado con mimo, dirigido y personalizado a medida de una persona u organización para que sea muy difícil de detectar y las probabilidades de éxito sean altas. Confeccionar un ataque de este tipo puede llevarle días o incluso semanas al phisher y no pensemos sólo en grandes corporaciones, sino que pequeñas y medianas empresas son frecuentemente víctimas de estos ataques dirigidos buscando un rédito económico rápido.
Las técnicas de ataque son muy variadas y van desde una sencilla mutación del dominio de nuestra organización por ejemplo “c0mpany.com” en lugar de “company.com” para darle mucha más credibilidad al ataque y conseguir un engaño visual al leer la dirección del remitente, hasta técnicas más avanzadas que combinan email spoofing con ingeniería social avanzada para construir un engaño muy sofisticado. Los ciber criminales investigan a la víctima, aprenden sobre sus gustos, sus operaciones diarias, información sensible que puedan recopilar, etc. A la hora de confeccionar el phishing personalizado los ciber criminales consiguen incluso modificar completamente las cabeceras de los emails para que a la mayoría de usuarios les resulte imposible diferenciar un email bueno de uno malo y consiguen darle credibilidad absoluta al email fraudulento.
Para controlar este tipo de ataques se necesita poner algo más de intensidad en las barreras defensivas. Los filtros estándares ya no suelen ser suficientes y se requiere el uso de plataformas dedicadas a la securización del correo electrónico (cloud normalmente) así como la monitorización proactiva de nuestros sistemas a través de un SoC profesional (Security Operations Center) que sea capaz de correlar los logs de nuestros sistemas con los eventos de ciberseguridad que se puedan estar ‘cocinando’ fuera de nuestra empresa, con el objetivo de anticipar ese posible ataque y pararlo antes de que sea demasiado tarde.
Los atacantes son muy inteligentes y aprovecharán la debilidad de nuestros sistemas de correo y la ingeniería social para confeccionar un ataque de spear phishing muy potente que probablemente será el punto de partida de un ataque de ramsonware o de un fraude económico de grandes dimensiones.
El correo electrónico es una puerta abierta de tu organización, securízalo al máximo nivel, pensando que puedes ser víctima de un ataque de Spear Phishing. Estos ataques son mucho más comunes de lo que parecen...
Business development, Sales and Transformation Management for B2B I Focus on growth and smart sales strategies I Technology and Cybersecurity
4 añosMuy útil Daniel Lopez Buendia !!
Desarrollo negocio | IAg | Inteligencia Artificial Generativa | Fundador CEO EVA5 Tech
4 añosBuen articulo Daniel, también se ha utilizado y se sigue utilizando el registro de dominios utilizando otros alfabetos como el griego, cirílico para engañar al usuario sobre la legitimidad de un dominio. La "a" en cirílico y la "a" en el alfabeto romano son iguales físicamente pero son dos "a" completamente diferentes en el registro de un dominio, pudiendo hacer pasar bancosantander.es con la "a" en cirílico como una registro autentico siendo una copia fraudulenta de la web. Esto al usuario le pasaría completamente desapercibido y entraría como un "torito". Algunos navegadores web como chrome, permite detectar este tipo de cosas y alertar al cliente, pero otros no y eso es un gran problema. Esperamos tu siguiente publicación. Enhorabuena y gracias.
Apasionado de la ciberseguridad
4 añosya te iba a reclamar el artículo... a todo lo bueno se acostumbra uno xDDD