Entradas

Dentro de las campañas de phishing modernas de 2019

/0 Comentarios/en /por

El mundo de la ciberseguridad está dominado por titulares que hablan de malware, ransomware, violaciones de datos, vulnerabilidad de las aplicaciones, amenazas de IoT y ataques de botnets. Sin embargo, el phishing o suplantación de identidad constituye una amenaza importante desde principios de la década de 2000 y es considerado como el vector de ataque más común de los ciberdelincuentes.

En la actualidad, el phishing ha dejado de ser una cuestión de volumen. Ahora, estas amenazas de correo electrónico tratan de engañar con éxito a un objetivo de alto valor para que realice la acción que desean: hacer clic en un vínculo malicioso, abrir un archivo cargado de malware, proporcionar una contraseña o autorizar transacciones financieras.

En la actual carrera armamentística cibernética, los elementos amenazantes intentan sortear los sistemas de seguridad de forma constante. En el caso del correo electrónico como vector de amenazas, el phishing ha dado paso al spear-phishing, la suplantación de identidad y los ataques Business Email Compromise (BEC). Estos mensajes concentran los esfuerzos de ingeniería social en seleccionar y estudiar cuidadosamente a la víctima.

Reducción del volumen global de phishing, ataques más selectivos

Tal y como refleja el Informe de ciberamenazas SonicWall 2019, los investigadores de amenazas de Capture Labs registraron 26 millones de ataques de phishing en todo el mundo, lo que supone una caída del 4,1 % respecto a 2017. Durante este tiempo, el cliente promedio de SonicWall tuvo que hacer frente a 5488 ataques de phishing.

Volumen de phishing global en 2018

A medida que las empresas mejoran en el bloqueo de los ataques por correo electrónico y garantizan que los empleados puedan detectar y eliminar mensajes de correo electrónico sospechosos, los atacantes cambian de táctica. Los nuevos datos sugieren que están reduciendo el volumen global de ataques y lanzando ataques de phishing más selectivos (como los ataques de Black Friday y Cyber Monday).

Descubra las cinco tácticas habituales que utilizan los impostores del phishing para robar credenciales, desplegar malware, infiltrarse en las redes y perjudicar a las marcas.

  1. URL maliciosas y sitios web falsos o falsificados

    Tras las mejoras en las soluciones de seguridad del correo electrónico que mitigan el phishing, los ciberdelincuentes están recurriendo a métodos innovadores para ejecutar ataques selectivos, como el uso de URL en el correo electrónico a modo de armas para entregar cargas útiles maliciosas o crear sitios web de phishing con páginas de inicio de sesión falsas con el fin de recopilar las credenciales de inicio de sesión de los usuarios. A finales de 2017 se informó de que cada mes se crean casi 1,5 millones de sitios de phishing. Y la detección de estos sitios se ha vuelto francamente complicada, ya los que los impostores del phishing ocultan las URL de phishing con ayuda de redireccionamientos y abreviadores de URL.

    Además, casi la mitad de estos sitios de phishing utilizan certificados HTTPS y SSL, de modo que los ciberdelincuentes lo tienen más fácil para engañar a sus víctimas.

    Fuente: «PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users», Avanan, agosto de 2018.

    De acuerdo con el Informe de inteligencia de seguridad de Microsoft, «son cada vez más los atacantes que utilizan sitios y servicios de intercambio de documentos y colaboración populares para distribuir cargas útiles maliciosas y formularios de inicio de sesión falsos que se utilizan para robar las credenciales de los usuarios».

  2. Phishing dirigido a las aplicaciones Office 365 y los usuarios
    Las campañas de phishing se dirigen cada vez más a los servicios SaaS y de correo web. Según el Anti-Phishing Working Group (APWG), el phishing dirigido a los servicios SaaS y de correo web se duplicó en el cuarto trimestre de 2018. Office 365 está incrementando su presencia como la opción más popular de plataforma de correo electrónico en la nube en organizaciones de todos los tamaños y sectores verticales, por lo que no sorprende que Microsoft sea la marca más suplantada.

    «A medida que aumente la cuota de Microsoft en el mercado de SEG, los atacantes inteligentes se dirigirán de forma cada vez más específica a las defensas de Microsoft», informa Gartner.

    No es algo descabellado, ya que para suscribirse a Office 365 solo hace falta tener una tarjeta de crédito, lo que hace que sus funciones de seguridad sean muy accesibles para los ciberdelincuentes. En teoría, esto permite a los grupos delictivos diseñar campañas de phishing capaces de evadir las defensas nativas de Microsoft. De hecho, en otro informe, los investigadores descubrieron que el 25 % de los correos electrónicos de phishing son capaces de superar la seguridad de Office 365.

  3. Credenciales comprometidas
    En enero de 2019, el investigador de seguridad Troy Hunt descubrió la «Colección 1», una recopilación de 773 millones de direcciones de correo electrónico y 21 millones de contraseñas a la venta en Hacker Forum. Estas combinaciones de identificaciones y contraseñas de usuarios en peligro se utilizan para llevar a cabo ataques desde el interior. Un ataque común es la apropiación de cuentas, en la que los encargados de las amenazas tratan de hacerse con las credenciales corporativas de los empleados, ya sea lanzando una campaña de phishing de credenciales contra una organización o comprando credenciales en la web oscura obtenidas a través de fugas de datos de terceros. Posteriormente, la entidad amenazante puede utilizar las credenciales robadas para obtener acceso adicional o aumentar los privilegios. Es posible que las credenciales comprometidas permanezcan sin descubrir durante meses o años.
  4. Suplantación de identidad, suplantación de CEO y ataques Business Email Compromise (BEC)
    Según el FBI, el Business Email Compromise, o BEC, es una estafa dirigida a empresas que trabajan con compañías o proveedores extranjeros que pagan regularmente mediante transferencias electrónicas. Estos sofisticados timos son llevados a cabo por estafadores que ponen en peligro las cuentas de correo electrónico a través de técnicas de ingeniería social o intrusión informática para realizar transferencias de fondos no autorizadas. Estos tipos de ataques son difíciles de detener, ya que no contienen vínculos o archivos adjuntos maliciosos, sino un mensaje a la víctima, procedente en apariencia de un remitente de confianza, que solicita la transferencia de fondos.

    El pasado verano, el Centro de Denuncias de Delitos en Internet del FBI (IC3) informó de que entre octubre de 2013 y mayo de 2018, las pérdidas totales en todo el mundo por estafas de BEC conocidas alcanzaron los 12 500 millones de dólares.

  5. Archivos adjuntos PDF y .doc de Office maliciosos
    Los archivos adjuntos de correo electrónico son un conocido mecanismo de distribución de cargas útiles maliciosas, como ransomware y malware nunca visto con anterioridad. Recientemente, los investigadores de amenazas de SonicWall Capture Labs descubrieron un aumento sustancial de los archivos PDF maliciosos o fraudulentos. Estas campañas de fraude aprovechan la confianza que los destinatarios depositan en los archivos PDF como formato «seguro» y fiable, muy utilizado en operaciones comerciales. El documento «New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics», escrito por Dmitriy Ayrapetov, director ejecutivo de Gestión de Productos, ofrece información sobre este tipo de campañas de phishing y cómo detenerlas.