¿Qué es phishing?

21/05/2018

¿Qué es phishing?

La forma más común de phishing es el tipo general, enviar correos masivos, donde alguien envía un correo electrónico pretendiendo ser otra persona e intenta engañar al destinatario para que haga algo, usualmente iniciando sesión en un sitio web o descargando malware. Los ataques a menudo se basan en la suplantación de correo electrónico, donde el encabezado del correo electrónico o el campo de origen, se falsifica para hacer que el mensaje aparezca como si hubiera sido enviado por un remitente de confianza.
Algunos ataques están diseñados específicamente para organizaciones e individuos, y otros se basan en métodos distintos al correo electrónico.

¿Qué es spear phishing?

Los ataques de phishing toman su nombre de la idea de que los estafadores están pescando víctimas al azar mediante el uso de correos electrónicos falsos o fraudulentos como cebo. Los ataques de Spear phishing extienden la analogía de dicha pesca ya que los atacantes están dirigidos específicamente a las víctimas y organizaciones de alto valor.

Los ataques de Spear phishing son extremadamente exitosos porque los atacantes pasan mucho tiempo elaborando información específica para el destinatario, como, hacer referencia a una conferencia a la que el destinatario acaba de asistir o enviar un archivo adjunto malicioso donde el nombre del archivo hace referencia a un tema que le interesa al destinatario.

Como ejemplo: Group 74 (también conocido como Sofact, APT28, Fancy Bear) apuntó a profesionales de ciberseguridad con un correo electrónico que pretendía estar relacionado con la conferencia Cyber Conflict US, un evento organizado por el Army Cyber Institute de la Academia Militar de los Estados Unidos. CyCon es una conferencia real, pero el archivo adjunto era en realidad un documento que contenía una macro maliciosa de Visual Basic para Aplicaciones (VBA) que descargaría y ejecutaría un malware de reconocimiento llamado Seduploader.

¿Qué es el Whalling?

“La caza de ballenas”, un ataque de phishing específicamente dirigido a los altos ejecutivos de la empresa, llamado así ya que se considera que la víctima es de alto valor, y la información robada será más valiosa de lo que un empleado regular puede ofrecer. Las credenciales de la cuenta que pertenecen a un CEO abrirán más puertas que un empleado de bajo nivel.

El Whalling requiere investigación adicional porque el atacante necesita saber con quién se comunica la víctima prevista y el tipo de discusiones que tienen. Los ejemplos incluyen referencias a quejas de clientes, citaciones legales o incluso un problema en la suite ejecutiva. Los atacantes generalmente comienzan con ingeniería social para reunir información sobre la víctima y la compañía antes de elaborar el mensaje de phishing que se usará en el ataque.

¿Qué es el Bussiness email compromise (BEC)?

Además de las campañas generales de phishing distribuidas en masa, los delincuentes se dirigen a personas clave en los departamentos de finanzas y contabilidad a través de estafas de compromiso de correo electrónico comercial (BEC) y fraude de correo electrónico de CEO. Al hacerse pasar por funcionarios financieros y directores ejecutivos, estos delincuentes intentan engañar a las víctimas para que inicien las transferencias de dinero en cuentas no autorizadas.

Por lo general, los atacantes ponen en peligro la cuenta de correo electrónico de un alto ejecutivo o funcionario financiero explotando una infección existente o mediante un ataque de spear phishing. El atacante acecha y supervisa la actividad de correo electrónico del ejecutivo durante un período de tiempo para conocer los procesos y procedimientos dentro de la empresa. El ataque real toma la forma de un correo electrónico falso que parece que proviene de la cuenta del ejecutivo comprometido que se envía a alguien que es un destinatario habitual. El correo electrónico parece ser importante y urgente, y solicita que el destinatario envíe una transferencia bancaria a una cuenta bancaria externa o desconocida. El dinero finalmente aterriza en la cuenta bancaria del atacante.

¿Qué es clone phishing?

Clonar el phishing requiere que el atacante cree una réplica casi idéntica de un mensaje legítimo para engañar a la víctima haciéndole creer que es real. El correo electrónico se envía desde una dirección similar al remitente legítimo, y el cuerpo del mensaje tiene el mismo aspecto que un mensaje anterior. La única diferencia es que el archivo adjunto o el enlace en el mensaje se ha intercambiado con uno malicioso. El atacante puede decir algo similar a tener que volver a enviar el original, o una versión actualizada, para explicar por qué la víctima estaba recibiendo el “mismo” mensaje de nuevo.Este ataque se basa en un mensaje legítimo visto anteriormente, lo que hace que sea más probable que los usuarios caigan en el ataque.

¿Qué es vishing?

Vishing significa “phishing de voz” y conlleva el uso del teléfono. Por lo general, la víctima recibe una llamada con un mensaje de voz disfrazado como una comunicación de una institución financiera. Por ejemplo, el mensaje puede solicitarle al destinatario que llame a un número e ingrese la información de su cuenta o PIN por razones de seguridad u otros fines oficiales. Sin embargo, el número de teléfono suena directamente al atacante a través de un servicio de voz sobre IP.

¿Qué es snowshoeing?

El rastreo de raquetas de nieve o spam “hit-and-run” , requiere que los atacantes envíen mensajes a través de múltiples dominios y direcciones IP. Cada dirección IP envía un volumen bajo de mensajes, por lo que las tecnologías de filtrado de spam basado en la reputación o el volumen no pueden reconocer y bloquear mensajes maliciosos de inmediato. Algunos de los mensajes llegan a las bandejas de entrada de correo electrónico antes de que los filtros aprendan a bloquearlos.

Las campañas Hailstorm “granizadas”, funcionan igual que las snowshoeing, excepto que los mensajes se envían en un lapso de tiempo extremadamente corto. Algunos de estos ataques terminan justo cuando las herramientas antispam detectan y actualizan los filtros para bloquear futuros mensajes, pero los atacantes ya han pasado a la siguiente campaña.

Método de protección de alto nivel

No hay una forma efectiva de protegerse contra un ataque de Ingeniería Social porque no importa qué se implementan controles, siempre existe ese “factor humano” que influye en el comportamiento de un individual. Pero, hay ciertas formas de reducir la probabilidad de éxito del ataque. También es importante para organizaciones para establecer una política de seguridad clara y sólida y procesos para reducir la amenaza de Ingeniería social. Los siguientes son algunos de los pasos para garantizar la protección contra el ataque de Ingeniería Social:

Entrenamientos de Concienciación de Seguridad: La concienciación de seguridad es la solución más simple para prevenir ataques de ingeniería social. Cada persona en la organización debe recibir capacitación básica sobre seguridad de manera oportuna para que él/ella nunca dé ninguna información sin la autorización apropiada y para que se conozca que se debe informar de cualquier comportamiento sospechoso.

Verificación de fondo: Hay muchas posibilidades de que un atacante se una a la empresa como empleado para reunir información privilegiada sobre la compañía. Esto hace que la detección de antecedentes sea realmente importante parte de las políticas de la empresa para contrarrestar el ataque de ingeniería social. No solo debe ser limitado a los empleados internos, pero también debe extenderse también a los proveedores y otros trabajadores contratados antes de que se conviertan en parte de la organización o se le dé acceso a la organización red.

Debe haber un mecanismo de control de acceso adecuado para asegurarse que solo a las personas autorizadas se les permite el acceso a secciones restringidas de la organización.
Fuga de datos: Debe haber una monitorización constante de toda la información sobre la organización colgada en Internet. Cualquier tipo de irregularidad debe ser inmediatamente tratada. Esto dificultará la recolección pasiva de información del atacante mediante varias herramientas, como podría ser spiderfoot.
Simulacros de ingeniería social: Se deben realizar actividades especiales de Ingeniería Social con los empleados internos de la organización, ya sea por el equipo de seguridad o por el proveedor, a fin de realizar un seguimiento del nivel de la seguridad sobre la conciencia en la organización.

Política de clasificación de datos: Debe haber una clasificación adecuada de los datos en función de sus niveles de criticidad y el personal de acceso. La clasificación de datos asigna un nivel de sensibilidad a la información de la empresa.
Cada nivel de clasificación de datos incluye diferentes reglas para ver, editar y compartir los datos. Esto ayuda a detener a la ingeniería social al proporcionar a los empleados un mecanismo para entender, qué información se puede divulgar y qué no se puede compartir sin la debida autorización.

Algunos controles adicionales que deberíamos tenerse en cuenta para reducir el éxito de un ataque de Ingeniería Social a alto nivel, podríamos enumerarlos a continuación:

  • Instalar y mantener los firewalls, antivirus, software antispyware y filtros de correo electrónico.
  • No permitir que las personas se pongan detrás al escribir información confidencial.
  • Tener una estrategia adecuada de respuesta a incidentes en la organización.
  • El uso de identificaciones corporativas en dominio público, blogs, foros de discusión, etc. debe estar prohibido.
  • Se debe prestar atención a la URL de un sitio web. Aunque los sitios web maliciosos generalmente se ven idénticos a un sitio legítimo, pero la URL puede usar una variación en la ortografía o un dominio diferente.
  • No se debe acceder a los detalles confidenciales y críticos en línea como el buzón de correo corporativo en lugares públicos, cafés y hoteles, etc. donde no se puede confiar en la seguridad del punto de Acceso a Internet.
  • No enviar información sensible a través de Internet antes de verificar la seguridad de los sitios web.
  • No revelar información personal o financiera por correo electrónico, al igual que no responder al correo electrónico sobre solicitudes de información similar.
  • Verificar que todos los puntos físicos de entrada y salida estén asegurados en todo momento.
  • No proporcionar información personal o información sobre su organización a nadie a menos que estar seguro de la autoridad de la persona para tener esa información.
  • Usar el teclado virtual cuando corresponda.
  • Tener mucho cuidado con lo que se proporciona/indica en el sitio web de su empresa. Evitar publicar gráficos organizacionales o listas de personas clave siempre que sea posible.
  • Asegurarse de destruir cualquier documento descartado que pueda contener datos confidenciales.
  • Implementar un buen filtro de SPAM que detecte virus, remitentes en blanco, etc.
  • Desarrollar una política de seguridad que incluya, pero no se limite a, la caducidad de la contraseña y la complejidad.
  • Implementar un filtro web para bloquear sitios web maliciosos.
  • Cifrar toda la información sensible de la compañía.
  •  Convertir el correo electrónico HTML en mensajes de texto o deshabilitar los mensajes de correo electrónico HTML.

Conclusión

Con la excepción de los riesgos planteados por el phishing, la amenaza de la ingeniería social como una forma de acceder a los sistemas corporativos de TI parece a menudo pasarse por alto a favor de asegurar esos sistemas contra los ataques informáticos. Esperamos que con este post, se haya demostrado que la clave para asegurar los sistemas de TI de nuestra organización radica en la preparación de todas las vías de ataque; cerrar las puertas delanteras y traseras y todas las ventanas no es una buena idea si hay un agujero en el techo, después de todo.

Las personas son un componente vital y a menudo, pasado por alto en los sistemas de seguridad como parte de la superficie de ataque disponible para un atacante, y sin el conocimiento y la capacitación adecuados puede ser el eslabón débil que expone sus datos al mundo.

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Ws1LNpNubOR

Sharing is caring!

NOTICIAS RELACIONADAS

NOTICIAS RELACIONADAS
16/09/2019

El poder del Bi para mejorar la experiencia del huésped en el sector Turístico

La necesidad de la explotación de datos para la toma de decisiones acertadas es [leer más]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Todos los Derechos Reservados Siayec 2020 | Web by Dao Comunicación