Los ataques de phishing siguen desempeñando un papel dominante en el panorama de las amenazas digitales. Por ejemplo, en su informe sobre investigaciones de fugas de datos (DBIR) de 2020, Verizon Enterprise descubrió que el phishing era la segunda variedad de acción de amenaza más importante en los incidentes de seguridad y la más importante en las fugas de datos. Por lo tanto, no es de extrañar que más de una quinta parte (22%) de las violaciones de datos analizadas por los investigadores de Verizon Enterprise implicaran el phishing de alguna manera.
Los defraudadores digitales tampoco muestran signos de ralentizar su actividad de phishing en 2020. Al contrario, un informe de Google descubrió que los sitios web de phishing aumentaron un 350%, pasando de 149.195 en enero de 2020 a 522.495 solo dos meses después. Muchos de estos sitios web probablemente utilizaron el coronavirus 2019 (COVID-19) como señuelo. De hecho, Barracuda Networks observó que los correos electrónicos de phishing que utilizaban la pandemia como tema aumentaron de 137 en enero de 2020 a 9.116 a finales de marzo, una tasa de crecimiento de más del 600%.
El aumento de los ataques de phishing supone una importante amenaza para todas las organizaciones. Es importante que todas las empresas sepan cómo detectar algunas de las estafas de phishing más comunes si quieren proteger su información corporativa. También es crucial que estén familiarizadas con algunos de los tipos de técnicas más comunes que los actores maliciosos utilizan para llevar a cabo estas estafas.
Para ello, en El Estado de la Seguridad hablaremos de seis de los tipos más comunes de ataques de phishing, así como proporcionaremos consejos útiles sobre cómo las organizaciones pueden defenderse.
Phishing engañoso
El phishing engañoso es, con diferencia, el tipo de estafa más común. En esta táctica, los estafadores se hacen pasar por una empresa legítima en un intento de robar los datos personales o las credenciales de acceso de los usuarios. Estos correos electrónicos suelen utilizar amenazas y una sensación de urgencia para asustar a los usuarios y que hagan lo que los atacantes quieren.
Técnicas utilizadas en el phishing engañoso
Vade Secure destacó algunas de las técnicas más comunes utilizadas en los ataques de phishing engañoso:
- Enlaces legítimos: Muchos atacantes intentan evadir la detección de los filtros de correo electrónico incorporando enlaces legítimos en sus correos electrónicos de phishing engañoso. Podrían hacerlo incluyendo información de contacto legítima de una organización que podrían estar suplantando.
- Mezclar código malicioso y benigno: Los responsables de crear páginas de destino de phishing suelen mezclar código malicioso y benigno para engañar a Exchange Online Protection (EOP). Esto puede adoptar la forma de replicar el CSS y el JavaScript de la página de inicio de sesión de un gigante tecnológico en un intento de robar las credenciales de la cuenta de los usuarios.
- Redirecciones y enlaces acortados: Los actores maliciosos no quieren levantar ninguna bandera roja con sus víctimas. Por lo tanto, diseñan sus campañas de phishing para utilizar URLs acortadas como medio para engañar a los Secure Email Gateways (SEGs), «time bombing» como medio para redirigir a los usuarios a una página de aterrizaje de phishing sólo después de que el correo electrónico haya sido entregado y redirecciones a páginas web legítimas después de que las víctimas hayan perdido sus credenciales.
- Modificar los logotipos de las marcas: Algunos filtros de correo electrónico pueden detectar cuando los actores maliciosos roban los logotipos de las organizaciones y los incorporan en sus correos electrónicos de ataque o en sus páginas de aterrizaje de phishing. Lo hacen buscando los atributos HTML de los logotipos. Para engañar a estas herramientas de detección, los actores maliciosos alteran un atributo HTML del logotipo, como su color.
- Contenido mínimo del correo electrónico: Los atacantes digitales intentan evadir la detección incluyendo un contenido mínimo en sus correos electrónicos de ataque. Pueden optar por hacerlo incluyendo una imagen en lugar de texto, por ejemplo.
Ejemplos recientes de ataques de phishing engañosos
Como ejemplo, los estafadores de PayPal podrían enviar un correo electrónico de ataque que indique a los destinatarios que hagan clic en un enlace para rectificar una discrepancia con su cuenta. En realidad, el enlace redirige a un sitio web diseñado para suplantar la página de inicio de sesión de PayPal. Ese sitio web recopila las credenciales de inicio de sesión de la víctima cuando intenta autenticarse y envía esos datos a los atacantes.
También hemos visto este tipo de campañas en los últimos años. A principios de septiembre de 2020, por ejemplo, PR Newswire compartió una investigación del CERT de Retarus en la que se advertía a las organizaciones que estuvieran atentas a los atacantes que se hacían pasar por socios contractuales. Estos actores maliciosos enviaron correos electrónicos de phishing instando a las organizaciones a actualizar sus contratos de socios comerciales mediante la descarga de un archivo adjunto. Para añadir legitimidad a su ataque, los actores maliciosos hicieron que los documentos parecieran estar alojados en el sistema de transacciones líder del sector, Dotloop. Pero al hacer clic en el documento simplemente se redirigía a la víctima a una página de inicio de sesión falsa de Microsoft.
Menos de un mes después de eso, los investigadores de Cofense detectaron una campaña de correo electrónico que simulaba proceder de un proveedor de formación en seguridad. Los correos electrónicos de ataque de la operación advertían al destinatario de que sólo le quedaba un día para completar una formación obligatoria haciendo clic en una URL. En caso de que la víctima cumpliera, la campaña le enviaba a un kit de phishing que utilizaba una página de inicio de sesión de OWA falsa alojada en un dominio ruso para robar las credenciales de Microsoft de las víctimas.
Cómo defenderse del phishing engañoso
El éxito de un phish engañoso depende de lo mucho que el correo electrónico de ataque se parezca a una pieza de correspondencia oficial de la empresa abusada. Como resultado, los usuarios deben inspeccionar todas las URLs cuidadosamente para ver si redirigen a un sitio web desconocido y/o sospechoso. También deben estar atentos a los saludos genéricos, los errores gramaticales y los errores ortográficos dispersos en el correo electrónico.
Spear Phishing
No todas las estafas de phishing adoptan técnicas de «rociar y rezar». Algunas artimañas se basan más en un toque personal. Lo hacen porque de otro modo no tendrían éxito.
Entre los esquemas de spear phishing.
En este tipo de estratagema, los estafadores personalizan sus correos electrónicos de ataque con el nombre del objetivo, el cargo, la empresa, el número de teléfono del trabajo y otra información en un intento de engañar al destinatario para que crea que tiene una conexión con el remitente. Sin embargo, el objetivo es el mismo que el del phishing engañoso: engañar a la víctima para que haga clic en una URL maliciosa o en un archivo adjunto al correo electrónico para que entregue sus datos personales. Dada la cantidad de información necesaria para elaborar un intento de ataque convincente, no es de extrañar que el spear-phishing sea habitual en sitios de redes sociales como LinkedIn, donde los atacantes pueden utilizar múltiples fuentes de datos para elaborar un correo electrónico de ataque dirigido.
Técnicas utilizadas en el spear phishing
A continuación se presentan algunas de las técnicas más comunes utilizadas en los ataques de spear phishing:
- Almacenar documentos maliciosos en servicios en la nube: CSO Online informó que los atacantes digitales alojan cada vez más sus documentos maliciosos en Dropbox, Box, Google Drive y otros servicios en la nube. Por defecto, es probable que el departamento de TI no bloquee estos servicios, lo que significa que los filtros de correo electrónico de la organización no marcarán los documentos armados.
- Tokens de compromiso: La plataforma de noticias de seguridad también señaló que los delincuentes digitales están intentando comprometer los tokens de la API o los tokens de sesión. El éxito en este sentido les permitiría robar el acceso a una cuenta de correo electrónico, un sitio de SharePoint u otro recurso.
- Recoger notificaciones fuera de la oficina: Los atacantes necesitan mucha inteligencia para enviar una campaña de spear-phishing convincente. Según Trend Micro, una forma de hacerlo es enviando correos electrónicos a los empleados en masa y recopilando notificaciones fuera de la oficina para conocer el formato de las direcciones de correo electrónico utilizadas por los empleados internos.
- Explorar las redes sociales: Los actores maliciosos necesitan saber quién trabaja en una empresa objetivo. Pueden hacerlo utilizando las redes sociales para investigar la estructura de la organización y decidir a quién les gustaría señalar para sus ataques dirigidos.
- Infiltrar la red: Una cuenta de ejecutivo comprometida es más efectiva que una cuenta de correo electrónico falsa. Como señala Varonis, los atacantes digitales podrían, por tanto, utilizar malware y rootkits para infiltrarse en la red de su objetivo.
- Hacer un seguimiento con una llamada telefónica: El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido tuvo conocimiento de varios casos en los que los atacantes hicieron un seguimiento de un correo electrónico de ballena con una llamada telefónica confirmando la solicitud por correo electrónico. Esta táctica de ingeniería social ayudó a apaciguar los temores del objetivo de que pudiera haber algo sospechoso en marcha.
- Perseguir la cadena de suministro: Además, el NCSC ha sido testigo de un aumento de casos en los que los actores maliciosos han utilizado información de los proveedores y vendedores de los objetivos para hacer que sus correos electrónicos de whaling parezcan proceder de socios de confianza.
- «La técnica del murmullo»: Los atacantes digitales a menudo incorporan tácticas únicas para ir tras objetivos específicos. Por ejemplo, según informa Social-Engineer, LLC, cuando intentan dirigirse a los representantes del servicio de atención al cliente o a los agentes de los centros de llamadas, los actores maliciosos podrían utilizar lo que se conoce como «la técnica del murmullo» para responder entre dientes a una pregunta con la esperanza de que su «respuesta» sea suficiente.
- Jerga técnica: En el caso de que los actores maliciosos se dirijan a los empleados de una empresa, Social-Engineer, LLC señaló que podrían hacerse pasar por el servicio técnico interno utilizando jerga técnica y aludiendo a cosas como problemas de velocidad y de identificación para convencer a un empleado de que está bien que entregue su información.
- Suplantación de identidad: Con esta táctica, un actor malicioso disfraza su número de teléfono para hacer que su llamada parezca provenir de un número de teléfono legítimo en el código de área del objetivo. Twinstate señaló que esta técnica podría inducir a los objetivos a una falsa sensación de seguridad.
- Provocar la descarga de una app maliciosa: Los atacantes pueden utilizar enlaces maliciosos para activar la descarga automática de apps maliciosas en los dispositivos móviles de las víctimas. Esas aplicaciones podrían desplegar un ransomware o permitir a los actores nefastos controlar remotamente sus dispositivos.
- Enlazar a formularios de robo de datos: Los atacantes podrían aprovechar un mensaje de texto junto con técnicas de phishing engañosas para engañar a los usuarios para que hagan clic en un enlace malicioso. La campaña podría entonces redirigirlos a un sitio web diseñado para robar su información personal.
- Instruir al usuario para que se ponga en contacto con el servicio técnico: Con este tipo de táctica de ataque, los actores maliciosos envían mensajes de texto que indican a los destinatarios que se pongan en contacto con un número de atención al cliente. El estafador se hará pasar por un representante legítimo de atención al cliente e intentará engañar a la víctima para que entregue sus datos personales.
- Código de correo electrónico malicioso: En esta variante de ataque de pharming, los actores maliciosos envían correos electrónicos que contienen códigos maliciosos que modifican los archivos host en el ordenador del destinatario. Esos archivos host modificados redirigen entonces todas las URL a un sitio web bajo el control de los atacantes para que puedan instalar malware o robar la información de la víctima.
- Apuntando al servidor DNS: Alternativamente, los actores maliciosos podrían optar por omitir el objetivo de los ordenadores de los usuarios individuales e ir directamente a por un servidor DNS. Esto podría comprometer potencialmente las solicitudes de URL de millones de usuarios de la web.
Ejemplos de ataques de spear phishing
A principios de septiembre de 2020, Proofpoint reveló que había detectado dos campañas de ataques de spear-phishing en las que estaba involucrado el grupo APT TA413 con sede en China. La primera tuvo lugar en marzo y se dirigió a entidades gubernamentales europeas, organizaciones de investigación sin ánimo de lucro y empresas mundiales relacionadas con asuntos económicos, tentando a los destinatarios a abrir el documento de la OMS «Critical preparedness, readiness and response actions for COVID-19, Interim guidance». El segundo iba dirigido a los disidentes tibetanos con una presentación de PowerPoint titulada «TIBETANOS ACOSTADOS POR UN VIRUS MORTAL QUE PORTA UN ARMA Y HABLA CHINO.ppsx». Ambos entregaban payloads de una nueva familia de infosteadores llamada Sepulcher.
Menos de una semana después, Armorblox explicaba que se había encontrado con un intento de ataque de phishing contra una de las 50 empresas más innovadoras del mundo en 2019. El correo electrónico de ataque utilizaba técnicas de spoofing para engañar al destinatario de que contenía un informe financiero interno. Posteriormente, el archivo adjunto de la campaña redirigía a los destinatarios a una página de inicio de sesión falsa de Office 365 que mostraba su nombre de usuario preintroducido en la página, con lo que se creaba aún más el disfraz de que el portal era un recurso interno de la empresa.
Cómo defenderse del Spear Phishing
Para protegerse de este tipo de estafas, las organizaciones deben realizar una formación continua de concienciación de seguridad de los empleados que, entre otras cosas, disuada a los usuarios de publicar información personal o corporativa sensible en las redes sociales. Las empresas también deberían invertir en soluciones que analicen los correos electrónicos entrantes en busca de enlaces o archivos adjuntos maliciosos conocidos. Esta solución debe ser capaz de detectar indicadores tanto de malware conocido como de amenazas de día cero.
Fraude al CEO
Los phishers pueden dirigirse a cualquier persona de una organización, incluso a los ejecutivos. Esa es la lógica detrás de un ataque «whaling». En estas estafas, los estafadores intentan arponear a un ejecutivo y robar sus datos de acceso.
En caso de que su ataque tenga éxito, los estafadores pueden optar por llevar a cabo un fraude contra el CEO. Como segunda fase de una estafa de correo electrónico empresarial (BEC), el fraude del director general se produce cuando los atacantes abusan de la cuenta de correo electrónico comprometida de un director general u otro ejecutivo de alto rango para autorizar transferencias bancarias fraudulentas a una institución financiera de su elección. También pueden aprovechar esa misma cuenta de correo electrónico para llevar a cabo un phishing W-2 en el que solicitan la información W-2 de todos los empleados para poder presentar declaraciones de impuestos falsas en su nombre o publicar esos datos en la web oscura.
Técnicas utilizadas en el Whaling
Los ataques de Whaling suelen hacer uso de las mismas técnicas que las campañas de spear phishing. Aquí hay algunas tácticas adicionales que los actores maliciosos podrían utilizar:
Ejemplos recientes de ataques de whaling
Atrás, en mayo de 2016, la revista Infosecurity Magazine cubrió la decisión del fabricante aeroespacial austriaco FACC de despedir a su director general. El consejo de supervisión de la organización dijo que su decisión se basaba en la noción de que el anterior CEO había «violado gravemente sus deberes, en particular en relación con el ‘Incidente del falso presidente’.» Ese incidente parecía haber sido un ataque de ballenas en el que actores maliciosos robaron 50 millones de euros de la empresa.
Fue más de tres años después cuando el lituano Evaldas Rimasauskas recibió una condena de cinco años de prisión por robar 122 millones de dólares de dos grandes empresas estadounidenses. Tal y como informó Naked Security en diciembre de 2019, Rimasauskas escenificó ataques de ballenas en 2013 y 2015 contra dos empresas enviando facturas falsas mientras se hacía pasar por una empresa taiwanesa legítima. El tribunal de Manhattan que dictó la sentencia también ordenó a Rimasauskas cumplir dos años de libertad supervisada, renunciar a 49,7 millones de dólares y pagar 26,5 millones de dólares en restitución.
Cómo defenderse del Whaling
Los ataques de Whaling funcionan porque los ejecutivos a menudo no participan en la formación de concienciación de seguridad con sus empleados. Para contrarrestar las amenazas de fraude de los directores generales y de phishing del W-2, las organizaciones deberían ordenar que todo el personal de la empresa -incluidos los ejecutivos- participe en la formación de concienciación sobre la seguridad de forma continua.
Las organizaciones también deberían considerar la posibilidad de inyectar canales de autenticación multifactor (MFA) en sus procesos de autorización financiera para que nadie pueda autorizar pagos únicamente a través del correo electrónico.
Vishing
Hasta ahora, hemos hablado de los ataques de phishing que, en su mayoría, se basan únicamente en el correo electrónico como medio de comunicación. El correo electrónico es, sin duda, una herramienta popular entre los phishers. Aun así, los estafadores recurren a veces a otros medios para perpetrar sus ataques.
Toma como ejemplo el vishing. Este tipo de ataque de phishing prescinde del envío de un correo electrónico y apuesta por realizar una llamada telefónica. Tal y como señala Comparitech, un atacante puede perpetrar una campaña de vishing configurando un servidor de Voz sobre Protocolo de Internet (VoIP) para imitar a varias entidades con el fin de robar datos sensibles y/o fondos.
Técnicas utilizadas en el vishing
A continuación se detallan algunas técnicas comunes utilizadas en los ataques de vishing:
Ejemplos recientes de ataques de vishing
A mediados de septiembre de 2020, la organización de salud gestionada Spectrum Health System publicó un comunicado en el que advertía a los pacientes y a los miembros de Priority Health que estuvieran atentos a los ataques de vishing. Esta advertencia indicaba que los individuos responsables del ataque se habían hecho pasar por empleados de Spectrum Health o de Priority Health. Utilizaban este disfraz para intentar presionar a las personas para que entregaran su información, dinero o acceso a sus cuentas.
Fue menos de dos semanas después cuando surgió un informe en WFXRtv.com en el que los funcionarios del condado de Montgomery advertían a los residentes de la comunidad de Virginia que tuvieran cuidado con las estafas relacionadas con los números de la Seguridad Social. El informe destacaba específicamente una oleada de estafadores que realizaban ataques de vishing en los que informaban a los residentes que sus Números de Seguridad Social estaban suspendidos y que el acceso a sus cuentas bancarias sería confiscado a menos que verificaran sus datos.
Cómo defenderse del vishing
Para protegerse de los ataques de vishing, los usuarios deben evitar responder a las llamadas de números de teléfono desconocidos, no dar nunca información personal por teléfono y utilizar una aplicación de identificación de llamadas.
Smishing
El vishing no es el único tipo de phishing que los estafadores digitales pueden perpetrar utilizando un teléfono. También pueden llevar a cabo lo que se conoce como smishing. Este método aprovecha los mensajes de texto maliciosos para engañar a los usuarios para que hagan clic en un enlace malicioso o entreguen información personal.
Técnicas utilizadas en el smishing
Webroot identificó algunas técnicas comúnmente utilizadas por los smishers:
Ejemplos recientes de ataques de smishing
A mediados de septiembre surgió la noticia de una campaña de smishing que utilizaba la Oficina de Correos de Estados Unidos (USPS) como señuelo. Los mensajes SMS de ataque de la operación informaban a los destinatarios de que debían ver una información importante sobre una próxima entrega de USPS. Al hacer clic en el enlace se les conducía a varias ubicaciones, incluyendo un juego de casino falso, así como un sitio web diseñado para robar las credenciales de la cuenta de Google de los visitantes.
Fue poco después cuando Naked Security publicó un informe de una campaña de smishing dirigida a los fans de Apple. Los mensajes SMS parecían haber llegado a un número equivocado, y utilizaban un falso chatbot de Apple para informar al destinatario de que había ganado la oportunidad de formar parte del Programa de Pruebas 2020 de Apple y probar el nuevo iPhone 12. Esta campaña, en última instancia, indicaba a las víctimas que debían pagar unos gastos de envío. En realidad, la operación simplemente utilizaba un portal web falso para robar las credenciales de la tarjeta de pago de sus víctimas.
Cómo defenderse del smishing
Los usuarios pueden ayudar a defenderse de los ataques de smishing investigando a fondo los números de teléfono desconocidos y llamando a la empresa que aparece en los mensajes si tienen alguna duda.
Pharming
A medida que los usuarios se vuelven más sabios ante las estafas tradicionales de phishing, algunos estafadores están abandonando por completo la idea de «cebar» a sus víctimas. En su lugar, están recurriendo al pharming. Este método de phishing aprovecha el envenenamiento de la caché contra el sistema de nombres de dominio (DNS), un sistema de nomenclatura que Internet utiliza para convertir los nombres alfabéticos de los sitios web, como «www.microsoft.com», en direcciones IP numéricas para poder localizar y, por tanto, dirigir a los visitantes a los servicios y dispositivos informáticos.
En un ataque de envenenamiento de la caché DNS, un pharmer apunta a un servidor DNS y cambia la dirección IP asociada a un nombre alfabético de sitio web. Esto significa que un atacante puede redirigir a los usuarios a un sitio web malicioso de su elección. Esto ocurre incluso si la víctima introduce el nombre correcto del sitio.
Técnicas utilizadas en el pharming
A continuación se incluyen algunas tácticas de pharming identificadas por Panda Security:
Ejemplos recientes de ataques de pharming
En 2014, Team Cymru reveló que había descubierto un ataque de pharming en diciembre de 2013. Esa operación afectó a más de 300.000 routers de pequeñas empresas y oficinas domésticas con sede en Europa y Asia. En última instancia, la campaña utilizó ataques man-in-the-middle (MitM) para sobrescribir la configuración de DNS de las víctimas y redirigir las solicitudes de URL a sitios bajo el control de los atacantes.
Un año después, Proofpoint reveló que había detectado una campaña de pharming dirigida principalmente a usuarios brasileños. La operación había utilizado cuatro URLs distintas incrustadas en correos electrónicos de phishing para aprovecharse de los propietarios de routers UTStarcom y TP-Link. Cada vez que un destinatario hacía clic en una de las URL, la campaña lo enviaba a un sitio web diseñado para ejecutar ataques de falsificación de petición en sitios cruzados (CSRF) sobre las vulnerabilidades de los routers en cuestión. La explotación exitosa permitió a los actores maliciosos realizar ataques MitM.
Cómo defenderse contra el pharming
Para protegerse contra los ataques de pharming, las organizaciones deben animar a los empleados a introducir las credenciales de inicio de sesión sólo en sitios protegidos por HTTPS. Las empresas también deben desplegar software antivirus en todos los dispositivos corporativos e implementar actualizaciones de la base de datos de virus de forma regular. Por último, deben estar al tanto de las actualizaciones de seguridad emitidas por un proveedor de servicios de Internet (ISP) de confianza.
Conclusión
Usando la guía anterior, las organizaciones podrán detectar más rápidamente algunos de los tipos más comunes de ataques de phishing. Aun así, eso no significa que sean capaces de detectar todos y cada uno de los phish. El phishing evoluciona constantemente para adoptar nuevas formas y técnicas.
Con esto en mente, es imperativo que las organizaciones lleven a cabo una formación de concienciación de seguridad de forma continua para que sus empleados y ejecutivos puedan estar al tanto de la evolución del phishing.
Para obtener más información sobre cómo el personal de su empresa puede detectar un phish, haga clic aquí.
0 comentarios