Dentro de las campañas de phishing modernas de 2019

/0 Comentarios/en /por

El mundo de la ciberseguridad está dominado por titulares que hablan de malware, ransomware, violaciones de datos, vulnerabilidad de las aplicaciones, amenazas de IoT y ataques de botnets. Sin embargo, el phishing o suplantación de identidad constituye una amenaza importante desde principios de la década de 2000 y es considerado como el vector de ataque más común de los ciberdelincuentes.

En la actualidad, el phishing ha dejado de ser una cuestión de volumen. Ahora, estas amenazas de correo electrónico tratan de engañar con éxito a un objetivo de alto valor para que realice la acción que desean: hacer clic en un vínculo malicioso, abrir un archivo cargado de malware, proporcionar una contraseña o autorizar transacciones financieras.

En la actual carrera armamentística cibernética, los elementos amenazantes intentan sortear los sistemas de seguridad de forma constante. En el caso del correo electrónico como vector de amenazas, el phishing ha dado paso al spear-phishing, la suplantación de identidad y los ataques Business Email Compromise (BEC). Estos mensajes concentran los esfuerzos de ingeniería social en seleccionar y estudiar cuidadosamente a la víctima.

Reducción del volumen global de phishing, ataques más selectivos

Tal y como refleja el Informe de ciberamenazas SonicWall 2019, los investigadores de amenazas de Capture Labs registraron 26 millones de ataques de phishing en todo el mundo, lo que supone una caída del 4,1 % respecto a 2017. Durante este tiempo, el cliente promedio de SonicWall tuvo que hacer frente a 5488 ataques de phishing.

Volumen de phishing global en 2018

A medida que las empresas mejoran en el bloqueo de los ataques por correo electrónico y garantizan que los empleados puedan detectar y eliminar mensajes de correo electrónico sospechosos, los atacantes cambian de táctica. Los nuevos datos sugieren que están reduciendo el volumen global de ataques y lanzando ataques de phishing más selectivos (como los ataques de Black Friday y Cyber Monday).

Descubra las cinco tácticas habituales que utilizan los impostores del phishing para robar credenciales, desplegar malware, infiltrarse en las redes y perjudicar a las marcas.

  1. URL maliciosas y sitios web falsos o falsificados

    Tras las mejoras en las soluciones de seguridad del correo electrónico que mitigan el phishing, los ciberdelincuentes están recurriendo a métodos innovadores para ejecutar ataques selectivos, como el uso de URL en el correo electrónico a modo de armas para entregar cargas útiles maliciosas o crear sitios web de phishing con páginas de inicio de sesión falsas con el fin de recopilar las credenciales de inicio de sesión de los usuarios. A finales de 2017 se informó de que cada mes se crean casi 1,5 millones de sitios de phishing. Y la detección de estos sitios se ha vuelto francamente complicada, ya los que los impostores del phishing ocultan las URL de phishing con ayuda de redireccionamientos y abreviadores de URL.

    Además, casi la mitad de estos sitios de phishing utilizan certificados HTTPS y SSL, de modo que los ciberdelincuentes lo tienen más fácil para engañar a sus víctimas.

    Fuente: «PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users», Avanan, agosto de 2018.

    De acuerdo con el Informe de inteligencia de seguridad de Microsoft, «son cada vez más los atacantes que utilizan sitios y servicios de intercambio de documentos y colaboración populares para distribuir cargas útiles maliciosas y formularios de inicio de sesión falsos que se utilizan para robar las credenciales de los usuarios».

  2. Phishing dirigido a las aplicaciones Office 365 y los usuarios
    Las campañas de phishing se dirigen cada vez más a los servicios SaaS y de correo web. Según el Anti-Phishing Working Group (APWG), el phishing dirigido a los servicios SaaS y de correo web se duplicó en el cuarto trimestre de 2018. Office 365 está incrementando su presencia como la opción más popular de plataforma de correo electrónico en la nube en organizaciones de todos los tamaños y sectores verticales, por lo que no sorprende que Microsoft sea la marca más suplantada.

    «A medida que aumente la cuota de Microsoft en el mercado de SEG, los atacantes inteligentes se dirigirán de forma cada vez más específica a las defensas de Microsoft», informa Gartner.

    No es algo descabellado, ya que para suscribirse a Office 365 solo hace falta tener una tarjeta de crédito, lo que hace que sus funciones de seguridad sean muy accesibles para los ciberdelincuentes. En teoría, esto permite a los grupos delictivos diseñar campañas de phishing capaces de evadir las defensas nativas de Microsoft. De hecho, en otro informe, los investigadores descubrieron que el 25 % de los correos electrónicos de phishing son capaces de superar la seguridad de Office 365.

  3. Credenciales comprometidas
    En enero de 2019, el investigador de seguridad Troy Hunt descubrió la «Colección 1», una recopilación de 773 millones de direcciones de correo electrónico y 21 millones de contraseñas a la venta en Hacker Forum. Estas combinaciones de identificaciones y contraseñas de usuarios en peligro se utilizan para llevar a cabo ataques desde el interior. Un ataque común es la apropiación de cuentas, en la que los encargados de las amenazas tratan de hacerse con las credenciales corporativas de los empleados, ya sea lanzando una campaña de phishing de credenciales contra una organización o comprando credenciales en la web oscura obtenidas a través de fugas de datos de terceros. Posteriormente, la entidad amenazante puede utilizar las credenciales robadas para obtener acceso adicional o aumentar los privilegios. Es posible que las credenciales comprometidas permanezcan sin descubrir durante meses o años.
  4. Suplantación de identidad, suplantación de CEO y ataques Business Email Compromise (BEC)
    Según el FBI, el Business Email Compromise, o BEC, es una estafa dirigida a empresas que trabajan con compañías o proveedores extranjeros que pagan regularmente mediante transferencias electrónicas. Estos sofisticados timos son llevados a cabo por estafadores que ponen en peligro las cuentas de correo electrónico a través de técnicas de ingeniería social o intrusión informática para realizar transferencias de fondos no autorizadas. Estos tipos de ataques son difíciles de detener, ya que no contienen vínculos o archivos adjuntos maliciosos, sino un mensaje a la víctima, procedente en apariencia de un remitente de confianza, que solicita la transferencia de fondos.

    El pasado verano, el Centro de Denuncias de Delitos en Internet del FBI (IC3) informó de que entre octubre de 2013 y mayo de 2018, las pérdidas totales en todo el mundo por estafas de BEC conocidas alcanzaron los 12 500 millones de dólares.

  5. Archivos adjuntos PDF y .doc de Office maliciosos
    Los archivos adjuntos de correo electrónico son un conocido mecanismo de distribución de cargas útiles maliciosas, como ransomware y malware nunca visto con anterioridad. Recientemente, los investigadores de amenazas de SonicWall Capture Labs descubrieron un aumento sustancial de los archivos PDF maliciosos o fraudulentos. Estas campañas de fraude aprovechan la confianza que los destinatarios depositan en los archivos PDF como formato «seguro» y fiable, muy utilizado en operaciones comerciales. El documento «New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics», escrito por Dmitriy Ayrapetov, director ejecutivo de Gestión de Productos, ofrece información sobre este tipo de campañas de phishing y cómo detenerlas.

La vulnerabilidad Dragonblood: ¿Es segura su red WiFi?

/0 Comentarios/en /por

¡Es temporada de Juego de tronos! Y cualquier cosa que tenga que ver con los dragones me recuerda a Juego de tronos. La vulnerabilidad Dragonblood ha expuesto recientemente la débil seguridad de la norma WPA3. Hace apenas un año que KRACK expuso las debilidades de la norma WPA2. Como respuesta, la Wi-Fi Alliance anunció un sucesor de WPA2 más robusto: WPA3.

Pero, ¿se trató realmente de un sucesor robusto? Aparentemente, no.

WPA3 incorporó la negociación denominada Autenticación Simultánea de Iguales (SAE), que supuso una gran mejora con respecto a WPA2, ya que evita los ataques de diccionario. La familia de negociaciones SAE se conoce como Drangonfly. Esta negociación es susceptible a ataques de partición de contraseñas, que se asemejan a los ataques de diccionario y aprovecha las fugas de canal lateral para recuperar las contraseñas de red.

Según los investigadores Vanhoef y Ronen, que publicaron el documento sobre esta vulnerabilidad, WPA3 presenta graves defectos de diseño que podrían haberse evitado con comentarios de expertos del sector sobre la WiFi segura. Uno de los defectos es que WPA3 no introduce ningún protocolo nuevo, sino que se limita a indicar cuáles de los protocolos existentes deben ser compatibles.

Antecedentes de WPA3

WPA3 mejoró WPA2 utilizando los métodos de seguridad más recientes, desautorizando protocolos heredados obsoletos e implementando el uso de marcos de gestión protegidos (PMF). Se diseñó tomando en cuenta dos tipos de redes: protección para redes domésticas con WPA3-Personal y para redes empresariales con WPA3-Enterprise.

WPA3-Personal ofrece una mayor protección de las contraseñas de red, mientras que WPA3-Enterprise proporciona protocolos de mayor seguridad para las redes empresariales. En redes WPA3-Personal, la negociación SAE consiste en la sustitución de la clave previamente compartida (PSK) en redes WPA2-Personal. WPA3 incluye: selección de contraseñas naturales, facilidad de uso y secreto de reenvío.

¿En qué consiste la negociación Dragonfly?

WPA3-Personal exige compatibilidad con las negociaciones SAE, que consisten en un intercambio de claves de autenticación de contraseñas equilibrado en el que dos endpoints (AP y AP o AP y cliente) almacenan las contraseñas en texto no cifrado. La entrada de la negociación SAE es un secreto previamente compartido y la salida es una clave maestra por pares de alta entropía. Después de esta ejecución, se produce una negociación en cuatro pasos para generar una clave transitoria por pares.

6 maneras en que Dragonblood afecta a su red inalámbrica

  1. Ataque de denegación de servicio (DoS). El mecanismo antiobstrucción de WPA3 que se supone que debe prevenir ataques DoS no los impide. Por tanto, esto puede anular los access points y provocar interrupciones en las redes.
  2. Ataque de degradación. El modo de transición de WPA3 es susceptible a ataques de diccionario. En este modo, un access point compatible con WPA3 puede aceptar conexiones de dispositivos cliente WPA2 y WPA3. Si un atacante realiza un ataque de intermediario para modificar las balizas de un access point compatible con WPA3 para engañar al cliente y hacerle creer que se trata de un access point WPA2, durante la negociación en cuatro pasos WPA2, el cliente detecta la anomalía y detiene la transmisión. Sin embargo, durante la negociación se envían suficientes tramas para que el atacante pueda realizar un ataque de diccionario. Además, los investigadores también descubrieron «ataques de degradación específicos de la implementación cuando un cliente se conecta automáticamente de manera inadecuada a una red exclusiva WPA3 utilizada con anterioridad».
  3. Ataque de negociación de grupo SAE. Los dispositivos cliente pueden priorizar grupos en la negociación SAE según las especificaciones 802.11. Con SAE, cuando un cliente se conecta a un access point, incluye el grupo deseado en la trama de consignación y este proceso continúa. «Lamentablemente, no existe ningún mecanismo que detecte si alguien ha interferido en este proceso. Por ello, resulta irrelevante forzar al cliente a utilizar un grupo diferente: crear simplemente una trama de consignación que indique que el AP no admite el grupo actualmente seleccionado». Esto da lugar a un ataque de degradación. Este método también puede utilizarse para realizar ataques de ampliación.
  4. Ataques de canal lateral basados en tiempo. La negociación SAE es susceptible a ataques de tiempo que filtran información de contraseñas, lo cual podría utilizarse posteriormente en ataques de partición de contraseñas para recuperar la contraseña de la víctima.
  5. Ataques de canal lateral basados en caché. SAE también es susceptible a vulnerabilidades en la implementación de sus algoritmos, lo que podría aprovecharse en ataques de partición de contraseñas para recuperar la contraseña de la víctima.
  6. EAP-PWD. Afecta al protocolo de autenticación ampliable (EAP) admitido en las normas WPA2 y WPA. Los investigadores también «descubrieron graves errores en la mayoría de los productos que implementan EAP-pwd. Estos errores permiten a un adversario suplantar a cualquier usuario y, por tanto, acceder a la red Wi-Fi sin conocer la contraseña del usuario».

Cómo protegerse contra Dragonblood

La vulnerabilidad Dragonblood se puede solucionar con parches de software. Aunque la Wi-Fi Alliance está dando directrices a los proveedores, asegúrese siempre de tener instalados en su red los parches de seguridad más recientes de los fabricantes de dispositivos inalámbricos. Utilice, además, contraseñas seguras en sus redes.

¿La vulnerabilidad Dragonblood afecta a los access points inalámbricos SonicWave?

No. Esta vulnerabilidad no afecta a los access points inalámbricos SonicWall. Los access points SonicWave proporcionan una seguridad inalámbrica superior y una tercera radio específica para análisis de seguridad. Los AP pueden prestar servicios de seguridad avanzados como el entorno aislado Capture Advanced Threat Protection (ATP) y el servicio de filtrado de contenidos (CFS), incluso estando desvinculados de los firewalls. Le ofrece la máxima flexibilidad para gestionar las comunicaciones inalámbricas desde la nube o a través de los firewalls, sin poner en peligro la seguridad.

Los puertos no estándar están sujetos a los ciberataques

/0 Comentarios/en /por

Si le gustan mirar películas de superhéroes, en algún momento escuchará a los personajes hablar de proteger sus identidades con el anonimato. A excepción de Iron Man, la ocultación de sus verdaderas identidades otorga a los superhéroes cierta forma de protección. En este sentido, la seguridad de la red es similar.

«Seguridad por oscuridad» es una frase que ha recibido elogios y críticas. Si conduce por carreteras secundarias en vez de conducir por autopista para evitar posibles accidentes, ¿se sentirá más seguro? ¿Puede llegar a su destino con la misma eficacia? Es posible, pero esto no significa que pueda eludir siempre las cosas negativas.

Diferencia entre puertos estándar y no estándar

La Autoridad de Números Asignados de Internet (IANA) asigna los puertos de los firewalls para responder a fines o servicios específicos.

Aunque existen más de 40 000 puertos registrados, solo se utilizan unos pocos. Se trata de los puertos «estándar». Por ejemplo, HTTP (páginas web) utiliza el puerto 80, HTTPS (sitios web con cifrado) utiliza el puerto 443 y SMTP (correo electrónico) utiliza el puerto 25.

Existen firewalls configurados para escuchar y recibir tráfico por estos puertos. Los ciberdelincuentes también lo saben, por lo que dirigen la mayoría de sus ataques a los puertos utilizados habitualmente. Por supuesto, las empresas suelen reforzar estos puertos frente a las amenazas.

Como respuesta al aluvión de ataques dirigidos a los puertos estándar, algunas organizaciones han pasado a utilizar puertos «no estándar» para sus servicios. Un puerto no estándar es el que se utiliza para un fin distinto del que tiene asignado de manera predeterminada. Un ejemplo sería utilizar el puerto 8080 en lugar del 80 para el tráfico web.

En esto consiste la estrategia de «seguridad por oscuridad». Aunque es posible confundir a los ciberdelincuentes durante un tiempo, no se trata de una solución de seguridad a largo plazo. Además, puede dificultar más la conexión con su servidor web a los usuarios porque su navegador está preconfigurado para utilizar el puerto 80.

Ataques contra puertos no estándar

Los datos recogidos en el Informe de ciberamenazas SonicWall 2019 indican un aumento del número de ataques dirigidos a puertos no estándar. En 2017 SonicWall descubrió que más del 17,7 % de ataques de malware se produjeron por puertos no estándar.

Comparativamente, ese número paso al 19,2 % en 2019, un incremento del 8,7 por ciento. Solo en diciembre de 2018 se alcanzó una cifra aún mayor: 23 %.

¿Cómo proteger los puertos no estándar?

La mejor defensa conta los ciberataques dirigidos a servicios a través de puertos estándar y no estándar consiste en disponer de una estrategia de seguridad por capas.

Utilizar la «seguridad por oscuridad» es solo una capa. No obstante, si se recurre a ella en exceso, no se obtiene el nivel de seguridad que se necesita. Es posible que ayude frente a los escaneos de puertos, pero no detendrá los ciberataques más selectivos.

Debería adoptar también otras medidas, como cambiar las contraseñas periódicamente, utilizar la autenticación de dos factores y aplicar parches y actualizaciones. Y debería utilizar un firewall que permita analizar artefactos específicos en lugar de todo el tráfico (es decir, un enfoque basado en proxy).