El phishing , un método de ataque cibernético tan antiguo como los virus y los príncipes nigerianos, sigue siendo uno de los medios más populares para iniciar una violación contra individuos y organizaciones, incluso en 2020. La táctica es tan efectiva que ha generado una multitud de submétodos , incluyendo smishing (phishing a través de SMS), pharming y la técnica del día para este blog: spear phishing.
Pero primero, una parábola rápida.
Un amigo mío recibió una avalancha de correos electrónicos en el transcurso de unos días, todos orientados hacia su cuenta de Netflix.
Click para agrandar
Las pistas que indicaban que algo no estaba bien eran numerosas:
- Hubo media docena de correos electrónicos en lugar de solo uno.
- Todos ellos requerían información de pago, pero cada correo daba una razón diferente de por qué.
- Hubo errores ortográficos en abundancia.
- Los correos electrónicos no fueron personalizados de ninguna manera.
Incluso sin detectar la URL completamente falsa, no HTTPS vinculada desde el cuerpo del correo electrónico, este amigo nunca hubiera caído en la trampa. Por supuesto, tienen un conocimiento decente de los conceptos básicos de seguridad. Sin embargo, considere si el atacante había hecho esto:
- Tomé algunos datos personales de un volcado de datos
- Cazado en línea para cuentas que pertenecen a esta persona, tal vez en las redes sociales
- Comprobado para ver si tenían una cuenta con Netflix
- Diseñó una dirección de correo electrónico de Netflix de imitación
- Se dirigió a la víctima potencial directamente por su nombre
- Incluyó parte o la totalidad de su domicilio
- Hizo uso del corrector ortográfico
- Configure un sitio web HTTPS gratuito
- Usó la versión más actual del logotipo de Netflix
¿Ver la diferencia? Si bien el primer conjunto de correos electrónicos no pasaría bien con un usuario con poco conocimiento, el segundo sería mucho más difícil de detectar como falso.
Y eso es lo que se conoce en el negocio como spear phishing .
¿Qué es el spear phishing?
El único propósito de Spear Phishing es meterse en la cabeza del destinatario y hacerles creer que los mensajes a los que responden son 100% legítimos, logrados debido a toques personales diseñados para hacerles pensar que lo que están tratando es el verdadero negocio.
Si bien podría argumentar que las alarmas deben sonar cuando se le solicitan los detalles de la tarjeta de crédito, con toda honestidad, una vez que el estafador ha arrojado algunos detalles personales en la mezcla, como el nombre y la dirección, puede ser demasiado tarde.
Imagínese si el estafador monitorea las fuentes de las redes sociales para ver cuál muestra su objetivo, y luego dijo algo como «Por favor, asegúrese de que sus datos sean correctos para continuar disfrutando de The Witcher». Ahora agregue una foto de Henry Cavill con un aspecto genial.
Juego. Terminado.
Como es de esperar, este tipo de ataque es bastante difícil de combatir. No ayuda cuando las tonterías completamente aleatorias, como el intento de phishing de Netflix mal hecho, regularmente causan grandes pérdidas en las organizaciones de todo el mundo, a pesar de ser bastante terrible.
¿Cuántas veces hemos visto instalaciones de atención médica e incluso gobiernos municipales locales que no cumplen con el ransomware a través de fingir archivos adjuntos de hojas de cálculo en correos electrónicos falsos de impuestos de recursos humanos? No se equivoquen, este es un problema muy real e inmediato para aquellos atrapados.
Dado que el phishing genérico ya está causando enormes dolores de cabeza tanto a las empresas como a los consumidores, los ciberdelincuentes que utilizan volcados de datos combinados por expertos con técnicas profesionales de ingeniería social tienen una probabilidad cada vez mayor de éxito. Y eso es antes de considerar otras formas de spear phishing, como el secuestro de conversación (más sobre esto más adelante) o los ataques que usan el spear phishing como plataforma de lanzamiento para infectar redes con malware y otras amenazas digitales.
¿Veamos algunos números?
Mira esas verticales
Hace unos años, el costo promedio de la prevención del phishing durante 12 meses fue de $ 319,327 frente al costo significativamente más alto de cualquier ataque exitoso, que pesó $ 1,6 millones . En 2019, las estadísticas que se inclinan fuertemente hacia el spear phishing hablan por sí mismas, y los grandes pagos para los estafadores están a la orden del día.
Los pagos de $ 40 millones, $ 50 millones e incluso $ 70 millones y más son comunes , y eso es antes de llegar al costo de la limpieza y las demandas colectivas . Agregue un poco de daño de reputación y una tormenta de fuego de relaciones públicas, y tendrá todos los ingredientes para una violación exitosa. Para las víctimas, no tanto.
Con la suplantación de identidad (phishing), la más mínima información puede provocar la caída de una organización a medida que corta todas sus defensas de seguridad que de otro modo serían completamente funcionales.
Evolución de la lanza phish
La suplantación de identidad no solo se deja en el ámbito de los correos electrónicos. Los ataques altamente dirigidos también se ramifican en otras áreas, especialmente aquellas llenas de información voluntaria. El secuestro de conversaciones de soporte al cliente en Twitter es un gran ejemplo de esto : los estafadores crean cuentas de soporte de imitación y luego entran en la conversación, llevando a la víctima al centro de phishing. Es un movimiento hábil.
Es discutible la cantidad de estas estafas dirigidas, teniendo en cuenta que están haciendo su ataque sobre la marcha, en lugar de meterse con el conocimiento previamente adquirido. La diferencia aquí es que el reconocimiento está dirigido a la persona a la que la víctima potencial está siendo ayudada , a diferencia de la víctima misma. Tomar nota de cuándo la cuenta de atención al cliente está activa, mirar los Tweets iniciales para que puedan fingir ser la misma persona que ayudó antes, y adoptar algunos de sus gestos del habla / habla corporativa ayudan a crear una ilusión convincente.
En ese momento, todo lo que realmente estamos tratando es un correo electrónico de imitación perfectamente diseñado pero en forma humana, y con la capacidad de interactuar con la víctima. ¿El spear phishing ha visto alguna vez una forma tan potente de ir a la ofensiva? Cuando las personas están felices de utilizar el servicio de atención al cliente para usarlo en su contra, es realmente algo para sentarse y considerar.
Luchando contra la creciente ola de spear phishing
Cualquiera puede ser un objetivo, pero los ejecutivos, especialmente a nivel de CEO, es donde está en términos de grandes puntajes para los delincuentes (una forma de ataque a veces llamada caza de ballenas). Por necesidad, la mayoría de los ejecutivos de las organizaciones están configurados para ser visibles públicamente, y los estafadores se aprovechan de esto. Como se ha mencionado, esta es una de las formas de ataque más difíciles de defender.
Si el componente de ingeniería social está diseñado para abrir la red al abuso de malware , entonces también debemos considerar la infraestructura de seguridad general. El software de seguridad , las actualizaciones, los cortafuegos y más se convierten en herramientas importantes en la guerra contra la suplantación de identidad (phishing), especialmente teniendo en cuenta lo que puede venir después del ataque inicial de la puerta.
Las herramientas como el filtrado y la detección de correo no deseado son excelentes para ataques casuales aleatorios, pero dada la naturaleza directa de la suplantación de identidad, puede ser un puente demasiado lejos para que la automatización lo señale como sospechoso. La capacitación continua y dedicada es importante en todos los niveles del negocio, además de no acostumbrarse a culpar a los empleados y a terceros cuando las cosas salen mal (y eventualmente lo harán). No desea que las personas tengan menos probabilidades de denunciar incidentes por temor a meterse en problemas: no es productivo y no ayudará a nadie.
Las herramientas para ayudar a informar ataques de phishing, ya sea aplicaciones dedicadas o algo basado en la web dentro de la red, siempre son útiles. También es bueno asegurarse de que los departamentos tengan al menos una idea de cuán importantes son los procesos comerciales en otros departamentos. Asegurar la organización es un poco más fácil cuando el departamento A no relacionado es una capa adicional de defensa para el departamento B. No relacionado Preste atención a los recursos humanos, la contabilidad y la interacción ejecutiva de primera línea.
Si su organización aún no ha considerado qué bloquear , nunca ha habido un mejor momento. El informe EC3 de Europol sobre spear phishing se publicó a fines del año pasado y contiene una gran cantidad de información sobre el tema para aquellos que quieran profundizar.
Considere todas las formas de phishing , vea cuáles pueden ser el mayor peligro para su organización y sus empleados, y comience a descubrir la mejor manera de abordar el problema. No te arrepentirás, pero los estafadores ciertamente lo harán.