El phishing no es un asunto de volumen. En efecto, estas amenazas de correo electrónico ahora están sintonizadas para engañar con éxito a un objetivo de alto valor para que realice una acción deseada: hacer clic en un enlace malicioso, abrir un archivo cargado de malware, proporcionar una contraseña o autorizar transacciones financieras.
En la actual carrera cibernética, los actores de amenazas intentan constantemente sortear los sistemas de seguridad. En el contexto del correo electrónico como un vector de amenaza, el phishing ha evolucionado hacia los tipos de ataques Spear-phishing, suplantación y Business Email Compromise (BEC). Estos mensajes son altamente dirigidos con amplios esfuerzos de ingeniería social para seleccionar y estudiar cuidadosamente a la víctima.
Disminución del volumen global de phishing, ataques más dirigidos
Publicado en el Informe de Amenazas Cibernéticas de SonicWall 2019, los investigadores de Capture Labs registraron 26 millones de ataques de phishing en todo el mundo, un 4.1% menos que en 2017. Durante ese tiempo, el cliente promedio de SonicWall enfrentó 5.488 ataques de phishing.
A medida que las empresas mejoran en el bloqueo de ataques de correo electrónico y aseguran que los empleados puedan detectar y eliminar correos electrónicos sospechosos, los atacantes están cambiando las tácticas. Los nuevos datos sugieren que están reduciendo el volumen total de ataques y lanzando ataques de phishing más específicos (por ejemplo, los ataques Black Friday y Cyber Monday).
A continuación se describen algunas de las tácticas comunes que los ‘phishers’ utilizan para robar credenciales, implementar malware, infiltrarse en redes y dañar marcas.
URL maliciosas y sitios web falsos o falsificados
Con las mejoras en las soluciones que brindan correo electrónico seguro y mitigan el phishing, los delincuentes cibernéticos están recurriendo a métodos innovadores para ejecutar ataques dirigidos, como el uso de URL malicioso dentro del correo electrónico que lleva a sitios web de phishing con páginas de inicio de sesión falsas para robar los datos de inicio de sesión de los usuarios.
Se estima que se crean cerca de 1.5 millones de sitios de phishing cada mes. Y la detección de sitios de phishing se ha vuelto más difícil porque los phishers están integrando las URL de phishing con múltiples redirecciones y abreviaturas de URL. Además, aproximadamente la mitad de estos sitios de phishing utilizan certificados HTTPS y SSL, lo que facilita que los ciberdelincuentes engañen a sus víctimas.
Según el Informe de Inteligencia de Seguridad de Microsoft, los atacantes utilizan cada vez más los sitios y servicios populares de intercambio de documentos y colaboración para distribuir contenido malicioso y formularios de inicio de sesión falsos que se utilizan para robar las credenciales de los usuarios.
Phishing dirigido a usuarios de Office 365
Los servicios de SaaS (Software como servicio, por sus siglas en inglés) y webmail son cada vez más objetivos de las campañas de phishing. Según el Anti-Phishing Working Group (APWG), el phishing dirigido a los servicios de SaaS y correo web se duplicó en el cuarto trimestre de 2018. Como Office 365 gana en adopción como la opción más popular de la plataforma de correo electrónico en la nube en organizaciones de todos los tamaños y verticales, no es de extrañar que Microsoft sea la marca más falsificada.
“A medida que aumente la participación de mercado de SEG en Microsoft, los atacantes inteligentes apuntarán específicamente a las defensas de Microsoft”, detalló Gartner.
Esto no es inconcebible porque una suscripción de Office 365 está didsponible para cualquier persona con una tarjeta de crédito, lo que hace que sus características de seguridad sean muy accesibles para los delincuentes cibernéticos. Esto teóricamente permite a los grupos criminales diseñar campañas de phishing que pueden evadir las defensas nativas de Microsoft. De hecho, en otro informe, los investigadores encontraron que el 25% de los correos electrónicos de suplantación de identidad (phishing) pasan por alto la seguridad de Office 365.
Credenciales comprometidas
En enero de 2019, el investigador de seguridad Troy Hunt descubrió la “Colección 1”, un tesoro de 773 millones de direcciones de correo electrónico y 21 millones de contraseñas disponibles para la venta en el Foro Hacker. Estas combinaciones de usuarios y contraseñas se utilizan para llevar a cabo ataques desde el interior.
Un ataque común incluye la adquisición de cuentas que involucra a actores de amenazas que comprometen las credenciales corporativas de los empleados, ya sea lanzando una campaña de phishing contra una organización o comprando credenciales en Darkweb debido a fugas de datos de terceros.
El ciber delincuente puede usar las credenciales robadas para obtener acceso adicional o aumentar los privilegios. Las credenciales comprometidas pueden permanecer sin ser descubiertas por meses o años.
Suplantación, fraude como CEO y correo electrónico empresarial comprometido (BEC)
De acuerdo con el FBI, Business Email Compromise, o BEC, es una estafa dirigida a empresas que trabajan con proveedores extranjeros y/o empresas que realizan regularmente pagos mediante transferencia bancaria.
Estas estafas sofisticadas son realizadas por estafadores que comprometen cuentas de correo electrónico mediante ingeniería social o técnicas de intrusión informática para realizar transferencias de fondos no autorizadas. Es difícil detener estos tipos de ataques porque no contienen enlaces o archivos adjuntos maliciosos, sino un mensaje a la víctima de un remitente de confianza solicitando la transferencia de fondos.
El Centro de Quejas por Internet (IC3) del FBI informó el verano pasado que, desde octubre de 2013 hasta mayo de 2018, las pérdidas totales en todo el mundo por estafas conocidas de BEC alcanzaron los 12.5 mil millones de dólares.
Archivos PDF maliciosos y documentos adjuntos de Office
Los archivos adjuntos de correo electrónico son un mecanismo de entrega popular para cargas maliciosas, como ransomware y malware como nunca se había visto. Los investigadores de amenazas de SonicWall Capture Labs encontraron recientemente un aumento sustancial de archivos PDF maliciosos o fraudulentos. Estas campañas de fraude aprovechan la confianza de los destinatarios en los archivos PDF como un formato de archivo “seguro” que se usa ampliamente y se utiliza para las operaciones comerciales.
Por Mónica Velasco, directora de Marketing para SonicWall en América Latina