El ataque depende únicamente de la interacción del destinatario con el contenido del correo electrónico
Los ataques de phishing comenzaron hace años como un simple correo no deseado, diseñado para engañar a los destinatarios para que visitasen sitios y se convirtieran en clientes. Mientras tanto, se han transformado en una industria criminal global.
En los últimos años, los actores de amenazas han refinado sus métodos de phishing, volviéndose cada vez más sofisticados a medida que las personas se vuelven más inteligentes con los correos electrónicos tradicionales, obvios y poco realistas, que ahora a menudo despiertan sospechas.
Un aumento en la capacitación de los empleados y una mayor conciencia general sobre la seguridad cibernética ha obligado a los ciberdelincuentes a cambiar sus tácticas y adoptar un enfoque más personal, conocido como phishing selectivo (spear phishing en inglés).
Según The Cyber Security Breaches Survey, el phishing es el ciberataque identificado con más frecuencia entre las empresas que han identificado alguna brecha de seguridad o ataque, con un 83 % experimentando esto en 2021.
Las organizaciones deben comprender qué esperar de futuros ataques de phishing. Al aprovechar las herramientas de seguridad digital adecuadas, las organizaciones pueden reducir la cantidad de correos electrónicos de phishing que llegan a las bandejas de entrada de los usuarios. Para mantenerse al frente de las nuevas técnicas de ataque de phishing, también es esencial que los empleados estén equipados con todo el conocimiento que necesitan para detectar un posible ataque de phishing que pasa desapercibido, incluido cómo difiere el contenido del ataque de los correos electrónicos legítimos.
Mantenerse al día con los ataques sofisticados
Gran parte de la información que circula sobre los ataques de phishing queda obsoleta rápidamente. Los ciberdelincuentes están continuamente inventando nuevas estrategias para penetrar las defensas organizacionales y ganarse la confianza de las víctimas. Por ejemplo, las plataformas de redes sociales como LinkedIn pueden proporcionar una variedad de información que permite a los ciberdelincuentes imitar a sus colegas y discutir las noticias recientes de la empresa, lo que se suma al realismo del intento de phishing.
Hay varios tipos de contenido malicioso que los usuarios deben tener en cuenta:
• Archivos adjuntos maliciosos: el objetivo común de los archivos adjuntos maliciosos es instalar malware en la máquina del objetivo. Esto podría ser malware que proporciona acceso remoto a la red de la víctima o roba información, ransomware, malware que envía correos electrónicos en nombre del usuario que ha iniciado sesión, etc.
• Enlaces maliciosos: los enlaces pueden conducir a malware o páginas de inicio de sesión falsificadas, con mayor frecuencia para Office 365, plataformas de contabilidad y otras aplicaciones basadas en la nube, diseñadas para capturar las credenciales de inicio de sesión ingresadas.
• Correos electrónicos sin malware: algunos correos electrónicos de phishing se basan únicamente en la ingeniería social y no utilizan contenido malicioso activo. Los estafadores que intentan comprometer el correo electrónico comercial (BEC) y el fraude del CEO a menudo adoptan este enfoque e intentan convencer a la víctima de que tome medidas como: modificar los datos bancarios, transferir dinero, comprar y compartir tarjetas de regalo y proporcionar detalles confidenciales de la empresa.
Para que las organizaciones protejan mejor sus operaciones, es fundamental que tengan una visibilidad centralizada de toda la actividad y los cambios dentro de todo su entorno para comprender cuándo y cómo se producen los ataques.
Ninguna solución de seguridad puede brindar una protección del 100 % contra cualquier tipo de ciberataque. Lo que se necesita es un esfuerzo concentrado para fortalecer el punto más débil de una estrategia de seguridad: el factor humano.
Endurecimiento de la superficie de ataque humano
Un ataque cibernético de spear phishing transmitido por correo electrónico está diseñado para que el destinatario objetivo actúe de la manera deseada, ya sea haciendo clic en un enlace, abriendo un archivo adjunto, entregando información en una respuesta o realizando una acción relacionada con el negocio (por ejemplo, iniciando un transferencia bancaria). En casi todos los casos, el ataque depende únicamente de la interacción del destinatario con el contenido del correo electrónico.
Independientemente de si se utilizan archivos adjuntos o enlaces maliciosos, la ingeniería social juega un importante papel en el phishing selectivo para engañar de manera convincente al usuario. Los ciberdelincuentes mejoran continuamente su oficio, haciendo que los correos electrónicos y las páginas web de phishing se vean, suenen y se sientan cada vez más legítimos.
Una forma de que las organizaciones se aseguren de que sus usuarios puedan detectar un posible intento de phishing es implementar capacitación en concientización sobre seguridad. La capacitación es una herramienta vital para enseñar a los usuarios la importancia de los hábitos diarios seguros, así como también cómo detectar los elementos clave de un ataque.
Imagen: Ejemplo real de de email de intento de phishing (observar la dirección sospechosa del remitente. Las imágenes no se descargan automáticamente para evitar posibles archivos maliciosos)
Además de los enlaces y archivos adjuntos sospechosos, los usuarios deben tener en cuenta los siguientes elementos que los atacantes pueden usar en una campaña de phishing selectivo:
• Detalles del remitente/envío: en primer lugar los usuarios deben verificar quién envía el correo electrónico: mirando en particular el dominio desde el que aparentemente se envió el correo electrónico. Mirando la ortografía y el uso de caracteres homográficos para hacerse pasar por una empresa o un individuo. Además, tomando nota de la dirección de correo electrónico y el nombre del remitente. La desalineación de los detalles del remitente es un buen primer indicador de que algo puede estar mal. Los equipos de TI y seguridad también pueden observar la dirección IP del servidor que envía el correo electrónico, la antigüedad del dominio, los servidores DNS, el registrador de dominios y las autoridades de certificación SSL como formas de validar la autenticidad.
• Destinatario: los actores de amenazas a menudo apuntarán a un destinatario en una categoría de mayor riesgo, como alguien con acceso a información financiera, propiedad intelectual, datos de clientes, etc.
• Asunto: Mirar el tema puede ayudar a determinar la legitimidad. Las faltas de ortografía, la gramática incorrecta y cualquier otra señal de que el correo electrónico es inusual o anormal de los correos electrónicos que se reciben normalmente es una indicación de un intento de phishing.
• Tipo de contenido del cuerpo: si bien en estos días la mayoría de los correos electrónicos son HTML, es importante tener en cuenta si el correo electrónico admite etiquetas y enlaces que se usan comúnmente en los correos electrónicos de phishing.
Además de educar a los usuarios e implementar capacitación para reconocer estos elementos, las organizaciones también pueden adoptar un enfoque más activo al intentar periódicamente hacer phishing a sus usuarios. Las pruebas de phishing brindan a los equipos de TI y seguridad un circuito de retroalimentación sobre dónde es más débil su seguridad. Las pruebas también ayudan a reforzar la cultura de seguridad de la organización.
A pesar de estas medidas para educar a los usuarios sobre los riesgos, detectar un correo electrónico de phishing requiere más que un simple escrutinio. A menudo requiere un enfoque en capas para proporcionar una mayor comprensión de la serie de acciones que se toman antes de que se reconozca como malicioso.
La actividad creada por el simple clic en un archivo adjunto o enlace malicioso solo puede ser reconocida parcialmente por una determinada solución de seguridad. Lo que puede ser necesario es la capacidad de centralizar y revisar datos dispares de una variedad de fuentes de entornos de red y soluciones de seguridad para comprender si la actividad sospechosa es maliciosa. Esto significa que si los usuarios no logran identificar un correo electrónico sospechoso, los equipos de seguridad pueden detectar por sí mismos los ataques de phishing.
Estar atentos
Los ataques de phishing pueden tener un impacto significativo en las organizaciones, incluida la pérdida de datos, el compromiso de credenciales, la infección de ransomware, otros tipos de infecciones de malware, daños a la reputación y pérdidas financieras. Con el costo de un robo de datos alcanzando un masivo promedio de $ 4.24 millones en 2021, las organizaciones no pueden permitirse pasar por alto la importancia de implementar una sólida estrategia de seguridad.
La implementación de una estrategia en capas basada en la detección, el fortalecimiento del factor humano y la visibilidad completa minimizará el riesgo de ataques de phishing exitosos al tiempo que mejora la capacidad para detectarlos y remediarlos.
