El phishing es un problema casi tan antiguo como Internet. Sin embargo, los delincuentes siguen buscando en su bolsa de trucos de phishing en 2019 porque, en pocas palabras, simplemente funciona. Al atacar a la psique humana y sacar provecho de emociones como el miedo, la ansiedad o la pereza, los ataques de phishing tienen éxito porque apuntan a nuestras debilidades y las explotan, de la misma manera que un kit de explotación aprovecha una vulnerabilidad en un software. programa.

Para comprender por qué los ataques de phishing siguen funcionando, buscamos tácticas de vanguardia diseñadas por actores de amenazas para ofuscar sus verdaderas intenciones y capitalizar la negligencia básica. Para ese fin, hemos reunido un resumen de campañas notables de suplantación de identidad del año pasado. Aquí están los ataques que se destacaron.

No puedes descartar fácilmente este

Myki , creadores del administrador de contraseñas de mayor calificación con el mismo nombre, descubrió recientemente una estafa engañosa de phishing en Facebook que es tan convincente que despertó el interés de los investigadores de seguridad.

El hullabaloo comenzó cuando la compañía comenzó a recibir múltiples informes de los usuarios de que su administrador de contraseñas Myki se negaba a llenar automáticamente una ventana emergente de Facebook en los sitios que visitaban, citando esto como un error.

Después de una investigación adicional, los investigadores de seguridad de Myki se dieron cuenta de que no se trataba de un error y, de hecho, su producto estaba protegiendo a sus clientes de confiar en la supuesta ventana emergente de Facebook. A continuación se muestra una demostración en video de la campaña de phishing que pudieron desenterrar y reproducir con éxito:

Video de demostración (Cortesía de Myki)

«[The] Hacker diseña un mensaje emergente de inicio de sesión social en HTML de aspecto muy realista», escribió Antoine Vincent Jebara, cofundador y CEO de Myki, en una publicación de blog . «La barra de estado, la barra de navegación, las sombras y el contenido se reproducen perfectamente para que se vean exactamente como un mensaje de inicio de sesión legítimo».

El pop-up falso se ve y se siente tan real que los usuarios pueden arrastrarlo y descartarlo como se podría con un pop-up legítimo. Pero aunque aporta un nivel convincente de legitimidad al ataque, la ventana emergente cede el juego una vez que los usuarios intentan arrastrarlo fuera de la página, lo que no puede suceder porque las partes que tocan el borde de la ventana del navegador desaparecen, lo que hace que los usuarios se dan cuenta de que la ventana emergente es parte de la propia página web.

Por lo tanto, la próxima vez que note que su administrador de contraseñas está actuando de forma extraña, como no rellenar previamente las ventanas emergentes como sabe que se supone, intente arrastrar la ventana emergente desde su navegador. Si una sección (o casi toda) desaparece después de alcanzar el borde del navegador, es una ventana emergente falsa. Cierra la pestaña de la página inmediatamente!

Phishing por mil personajes

Por cualquier cuerdo estándar, una URL larga de 400 a 1.000 caracteres es una exageración. Sin embargo, esto no impidió que un phisher lo usara en su campaña. No solo una vez, sino en varias instancias en un correo electrónico de campaña de suplantación de identidad (phishing), para gran molestia de los destinatarios inteligentes .

Captura de pantalla de la URL kilométrica larga utilizada en la campaña (Cortesía de MyOnlineSecurity)

La URL extraída anterior se tomó de un correo electrónico que aparentaba ser una notificación del dominio de correo electrónico del destinatario, diciéndoles que su cuenta estaba en la lista negra debido a fallas de inicio de sesión múltiples. Luego instruyó a los destinatarios para actualizar y verificar su cuenta de correo electrónico antes de que el proveedor del servicio suspenda o finalice la cuenta.

Nadie sabe a ciencia cierta por qué alguien estaría lo suficientemente loco como para intentar esto. Por ahora, los estafadores conocidos existen formas mejores y más sostenibles de ofuscar las URL. Pero, por desgracia, los phishers trabajadores todavía están por ahí. No es fácil copiar y pegar todos esos caracteres, después de todo, y mucho menos escribirlos manualmente.

Vamos a darles una A por esfuerzo, ¿vale? Sin embargo, el phishing no es cosa de risa, así que vigilémoslo.

(No) perdido en (Google) traducción

Los servicios de traducción en línea fueron diseñados para cumplir un propósito: traducir el contenido de su idioma original a otro. ¿Quién hubiera esperado que los phishers pudieran usar una página de Google Translate legítima como la página de destino para los usuarios que intentan poseer?

Captura de pantalla del correo electrónico de phishing (Cortesía de Akamai)

Para: {destinatario} 
De: Cuentas de seguridad <facebook_secur @ hotmail [.] Com> 
Asunto: Alerta de seguridad 
Cuerpo del mensaje:

Conectándose a un nuevo dispositivo

[redactado]

Un usuario acaba de iniciar sesión en su cuenta de Google desde un nuevo dispositivo de Windows. Le enviamos este correo electrónico para verificar que es usted.

[Consultar la actividad]

‘¿Por qué hacer esto?’ usted podría preguntarse De acuerdo con Larry Cashdollar, ingeniero sénior de respuesta de seguridad de Akamai, en una publicación de blog , “Usar Google Translate hace algunas cosas; llena la barra de URL (dirección) con gran cantidad de texto aleatorio, pero lo más importante visualmente es que la víctima ve un dominio legítimo de Google. En algunos casos, este truco ayudará a que el delincuente evite las defensas de los puntos finales «.

También señaló que este tipo de táctica podría ser aceptada por objetivos sin sospecha cuando se ve en un dispositivo móvil, ya que el correo electrónico de phishing y la página de destino parecen más legítimos. Sin embargo, cuando se ve en una computadora portátil o de escritorio, las fallas de esta táctica son evidentes.

Cashdollar mencionó que esta campaña de phishing es un ataque de dos puntas, en el que los phishers intentaron obtener las credenciales de Google primero y luego las de Facebook. El dominio para el inicio de sesión falso de Facebook no está alojado en una página de Google Translate, eso sí.

«… Es muy poco común ver que un ataque de ese tipo apunte a dos marcas en la misma sesión», escribió Cashdollar.

Para que los usuarios eviten caer en semejante phish, Cashdollar tiene esto para decir: «La mejor defensa es un buen ataque. Eso significa tomarse su tiempo y examinar el mensaje completamente antes de tomar cualquier acción. ¿La dirección “de” coincide con lo que está esperando? ¿El mensaje crea un curioso sentido de urgencia, temor o autoridad, casi exigiéndole que haga algo? Si es así, esos son los mensajes de los que hay que sospechar y los que tienen más probabilidades de resultar en cuentas comprometidas «.

¿A dónde fue el zorro marrón rápido?

Desafortunadamente, fue reemplazado por letras colocadas en lugares donde no se suponía que debían hacerlo, por lo que los phishers podían ocultar el código fuente de su página de destino para que pareciera menos sospechoso.

Esto fue lo que encontraron nuestros amigos en Proofpoint cuando se encontraron con una campaña que aprovechaba los archivos de fuentes personalizados para decodificar y ocultar contenido.

Este ataque de phishing en particular comenzó como un correo electrónico que aparentemente se originó en un banco importante de los EE. UU., Y cuando los usuarios hicieron clic en el enlace del correo electrónico, fueron enviados a una réplica convincente de la página oficial del banco, lista y en espera de recibir información de credenciales.

Los archivos de fuentes personalizados, concretamente woff y woff2 , instalaron un cifrado de sustitución, que luego reemplazó las letras que los usuarios ven en la página con otras letras en el código fuente mediante la sustitución directa de caracteres. Por lo tanto, el texto «El zorro marrón rápido …» que se ve en el archivo de fuente normal, por ejemplo, era «Eht wprcx bivqn fvk …» en el archivo de fuente personalizado.

Captura de pantalla del archivo de fuente woff (Cortesía de Proofpoint)

Proofpoint observó que el kit de phishing puede haber estado disponible desde mayo de 2018, si no antes.

Para combatir esta táctica y las demás que se mencionan en este resumen, los usuarios deben seguir apegándose a los protocolos informáticos seguros establecidos , como no hacer clic en los enlaces de correos electrónicos sospechosos y visitar los sitios web de los bancos directamente desde el navegador en lugar de hacerlo por correo electrónico.

Las empresas también pueden estar al tanto de los ataques de phishing menos obvios incorporándolos a los programas de capacitación de los empleados. Cualquier buen plan anti-phishing utilizará las técnicas que se utilizan actualmente en la naturaleza (mientras que el Príncipe de Nigeria, aunque todavía está por ahí, probablemente no sea necesario entrenar).