Spear phishing:  Ejemplos, tácticas y técnicas.

Aprender a reconocer y abordar un ataque de  spear phishing así como instruir a su organización para que nadie caiga es esemcial.

Por Josh Fruhlinger | Original de IDGN

 

Si bien son muchos los mnales y riesgos que amenazan a las empresas en lo que a ciberseguridad se refiere, en general, el phishing es una de las puertas más grandes y, por tanto, un enemigo a combatir. 

El phishing, el phishing selectivo y la caza de ballenas son todos tipos de ataques por correo electrónico, siendo el primero la categoría más amplia de ciberataque.

En el caso del phishing selectivo (spear) los estafadores se enfocan en los nuevos empleados porque aún tienen que encontrar su lugar en un nuevo entorno corporativo.  

Probablemente, la señal principal de un correo electrónico de spear phishing (suponiendo que el atacante haya obtenido toda su información personal correcta) es que le pedirá que haga algo inusual o fuera de los canales corporativos. Después de todo, esa es la única forma de separarte de tu dinero (o el de tu empresa). 

Los nuevos empleados pueden tener dificultades para darse cuenta de que las solicitudes son fuera de lo común, pero en la medida de lo posible, debe escuchar su instinto.

“Se envió un correo electrónico a varias personas en una empresa para la que trabajaba de un remitente desconocido que estaba imitando al director ejecutivo”, dice Wojciech Syrkiewicz-Trepiak, ingeniero de seguridad en spacelift.io, una infraestructura basada en Redwood City, California.  proveedor de plataforma de gestión de código.  “Pasaron todos los mecanismos de seguridad, ya que usaron una dirección de correo electrónico real. Sin embargo, el dominio de la dirección de correo electrónico era Gmail (no el dominio de la empresa), y nos pedían que hiciéramos tareas urgentes, es decir, eludiendo todas y cada una de las políticas de la empresa y presionando  el destinatario en cometer un error”.

La urgencia aquí es otra bandera roja. Sí, en un entorno profesional a menudo recibimos solicitudes legítimas para actuar con rapidez.  

Pero cuando alguien trata de hacer que te apresures, es una señal de que no te está dando la oportunidad de detenerte y pensar.  

“Mi experiencia personal viene con la campaña de phishing selectivo de tarjetas de regalo fraudulentas”, dice Massimo Marini, analista sénior de seguridad y cumplimiento de la consultora Kuma LLC, con sede en Virginia.  “Esta estafa requiere que el objetivo vaya a comprar tarjetas de regalo bajo la supuesta dirección de su supervisor. La victima compra las tarjetas de regalo y luego, a través de un correo electrónico de seguimiento, le da el código al atacante. He visto que esto le sucedió a un ejecutivo asistente que se sintió presionada por su ‘jefe’ para comprar rápidamente las tarjetas para un regalo secreto. Ese evento se detuvo en el último minuto cuando habló con su jefe real, quien por supuesto no sabía nada al respecto”.

Ejemplos de phishing selectivo

Si tiene curiosidad sobre cómo reconocer los correos electrónicos de phishing selectivo, tenemos un par de ejemplos del mundo real para usted.  

El primero proviene de William Méndez, director general de operaciones de la consultora CyZen, con sede en Nueva York.  

“Este es un correo electrónico dirigido a una firma de contabilidad”, dice.  “Los atacantes hacen referencia a una tecnología ‘CCH’, que es comúnmente utilizada por tales empresas”.

Mendez destacó que el correo electrónico en cuestión está programado para la temporada de impuestos (por lo general, la época más ocupada del año para las empresas de contabilidad), lo que implica que los usuarios están ocupados y no prestarán atención a los correos electrónicos recibidos.  

“El correo electrónico también usa el miedo al afirmar que el acceso de la víctima se cancelará a menos que tome algún tipo de acción. En este caso, la acción es hacer clic en un enlace que, probablemente, dirigirá al usuario a un sitio donde el atacante puede recopilar  credenciales y contraseñas u otra información confidencial”.

Tyler Moffitt, analista senior de seguridad de la consultora OpenText Security Solutions, con sede en Ontario, presenta otro ejemplo, que parece una alerta de seguridad de Twitter.

Este mensaje intenta hacer el movimiento clásico de hacerte creer que estás asegurando tu cuenta y engañarte para que reveles tu contraseña en el proceso.  

“El individuo aquí, que es un periodista, fue atacado específicamente, probablemente por su cobertura de los acontecimientos de Ucrania/Rusia”, explica Moffitt. 

(En este sentido, es importante recordar que la ubicación del supuesto inicio de sesión se suma a la verosimilitud). 

“El mensaje informa al usuario que se accedió a su cuenta en Rusia y que debe restablecer su contraseña usando el enlace. Ese enlace conduce a un restablecimiento de contraseña falso donde solo recopilarán las  credenciales actuales y, luego, robarán la cuenta”.

Cuando recibe un mensaje como este, debe tener mucho cuidado para asegurarse de que la página web en la que termina es el dominio real al que cree que se dirige.  

En este caso, trataban tratando de enviar a la víctima a “twitter-supported.com”, que no es un dominio real que usa Twitter.

Cómo prevenir el phishing selectivo

Sería genial si hubiese medidas técnicas que pudiera tomar para detener por completo los ataques de phishing selectivo.  

Hay algunas medidas que pueden ayudar.  

“Cuando se trata de seguridad cibernética, el mismo principio de proteger su billetera física se aplica a su actividad en línea”, dice Nick Santora, fundador de Curricula, proveedor de capacitación en seguridad con sede en Atlanta, Georgia. 

El ejecutivo apunta que, si no quiere convertirse en una víctima, tenemos que explicarles a todos por qué es importante hacer cosas como:

• Activar la autenticación de dos factores 
• O una de múltiples factores (2FA/MFA) 
• Usar contraseñas seguras que sean únicas para cada cuenta  
• Y utilizar una bóveda de protección de contraseñas para contener las credenciales en línea

Jorge Rey, director de seguridad cibernética y cumplimiento de Kaufman Rossin, una firma de asesoría con sede en Nueva York, también cree que las soluciones técnicas son importantes: insta a incorporar soluciones de seguridad de correo electrónico, complementando lo que venga de su proveedor con una solución de terceros para ayudar a filtrar el spam y los archivos adjuntos dañinos. 

Pero la mejor defensa contra los ataques de ingeniería social como el spear phishing es la inteligencia humana, y eso requiere un entrenamiento que mantenga a los usuarios alerta.

“Una simulación de phishing hace una gran diferencia”, dice.  “Una cosa es ir a un PowerPoint y mostrarle un correo electrónico de phishing. Otra cosa es recibir algo en el correo, hace clic en él y luego lo envían a la capacitación. Hemos visto que las personas  mejora en el reconocimiento de los ataques, porque la gente odia la sensación de hacer clic en un enlace y recibir un mensaje que dice: ‘Te han phishing’.  Es mucho más poderoso que una capacitación de cumplimiento anual”.  

Como esperamos que este artículo haya dejado claro, es mejor sentirse avergonzado como parte de una simulación no anunciada que ser presa de la realidad.

Al final, la mejor manera de prevenir el phishing selectivo es simplemente mantener ocupada su mente sospechosa.  

“Las estafas de phishing a menudo provienen de contactos confiables cuyas cuentas de correo electrónico han sido comprometidas o clonadas”, dice el analista de seguridad cibernética Eric Florence.  “Nuestro deseo de confiar en la gente, de creer que la mayoría de la gente es decente, es lo que se aprovecha en cada ataque de phishing, y ese deseo tiene que suspenderse, al menos durante el horario comercial”.