Phishing: ¡Peligro online! (Parte 2)

Para leer la parte 1 haga clic aquí.

¿Qué es el spear phishing?

Como pudimos apreciar hasta aquí, si bien es muy peligroso caer en este tipo de engaños, el porcentaje de usuarios que lo hace no es muy grande. Sobre todo, porque el Phishing tradicional se basa en estrategias de engaño más bien masivo, con poca diferenciación o particularización de las víctimas. Visto de otro modo, es como si en el Phishing los “pescadores” intentaran atraparnos con una (débil) red indiscriminada.

Pero qué pasaría si ese phishing fuese personalizado y el atacante nos investigara de antemano (gustos, relaciones, datos personales). ¿O si, por ejemplo, el objetivo fuese nuestra empresa y el atacante conociese a nuestros proveedores, clientes y datos sensibles del negocio?

A este tipo de ataque se lo conoce como Spear Phishing. Tal como lo indica la palabra Spear (arpón/lanza), hace una analogía a la pesca con arpón, la cual es dirigida a un objetivo concreto y no a cualquiera que “muerda el anzuelo”, como podría suceder en el phishing tradicional. Estos objetivos pueden ser desde una persona, grupo o hasta incluso una empresa entera.

Este es uno de los ataques más peligrosos para las organizaciones hoy en día, ya que si el atacante se toma su tiempo para realizar un relevamiento exhaustivo de la información y posee habilidades para elaborar un buen ataque, las posibilidades que la o las víctimas sean engañadas aumentan. Por supuesto, la preparación de este tipo de ataque exige más trabajo a los ciberdelincuentes.

Toda la empresa en riesgo

Veamos ahora cómo contando con información y utilizando el Spear Phishing un ciberdelincuente puede tener éxito con su engaño:

En una evaluación de seguridad para una empresa se encontró una impresora a la que se podía ingresar desde cualquier lugar del planeta sin ningún tipo de restricción, porque poseía una dirección IP pública (abierta al mundo). Además, los nombres de usuario y contraseña del administrador que trae por defecto no se habían cambiado. Así quedaban expuestas diferentes tipos de informaciones sobre sus usuarios:

-Nombres y apellidos.

-Nombres de usuarios.

-Documentos que se imprimían junto con su fecha y hora exacta.

-Software y versiones desde donde se enviaban las impresiones.

Cibercriminales en acción

Siguiendo con el ejemplo anterior, los datos recolectados sirvieron para elaborar un Spear Phishing. Como primer paso se identificó a uno de los usuarios que más utilizaban la impresora. Una vez seleccionado, se procedió a estudiar detalladamente los horarios para poder así dar con el momento apropiado en el que se le realizaría el ataque. Luego se identificó un documento en formato PDF que acababa de ser impreso y de esta manera se procedió a crear uno de idénticas descripciones, pero conteniendo dentro un código especialmente preparado para poder tomar el control de su equipo (aprovechando una vulnerabilidad conocida del software que estaba usando). Así fue que se redactó un mail supuestamente enviado desde el área de soporte de la empresa, donde se le indicaba al usuario que se había detectado malware en su computadora (el PDF que acababa de imprimir) y en pos de actuar proactivamente esto se había corregido. El usuario tenía que eliminar el archivo anterior y descargar el nuevo que se le había adjuntado junto a esta notificación. El usuario accedió sin ningún tipo de restricción a realizar todo lo solicitado y fue así que se pudo tomar el control total de su computadora comprometiendo a toda la empresa.

Las zonas turbias de la web

La compañía Blue Coat Systems (www.blue-coat.com), realizó una investigación que muestra las “zonas” o dominios de nivel superior (TLD) que tienen mayor relación con sitios web sospechosos. Uno de los hallazgos clave que presenta el informe es que más del 95 por ciento de los sitios web de 10 TLD diferentes se clasifican como sospechosos y que ese porcentaje llega al 100 por ciento para los TLD de los dos primeros puestos: .zip y .review.

Blue Coat analizó cientos de millones de solicitudes web provenientes de más de 15.000 empresas y 75 millones de usuarios para generar el informe “Las zonas más turbias de la Web”. A los fines de esta investigación, Blue Coat consideró que un dominio es “turbio” si está clasificado en su base de datos como:

Actividad maliciosa más frecuente: correo no deseado, estafa, sospechoso, software posiblemente no deseado (PUS).

Actividad maliciosa menos frecuente: Malware, Botnet, Phishing y suplantación de identidad.

figura 1 2Los dominios de la base de datos que no tienen alguna de estas categorías se consideraron “no turbios”. En los primeros días de Internet la mayoría de los consumidores y las empresas encontraban solo unos pocos TLD estándares, como .com, .net, .edu y .gov, además de algunos dominios de “código de país”, como .fr (Francia) y .jp (Japón). No obstante, desde el año 2013, la cantidad de TLD nuevos creció desmesuradamente. Hubo una explosión de zonas nuevas en la Web, muchas de las cuales no son ni seguras ni amigables en lo que respecta a seguridad web. Hasta junio de 2015, el conteo de TLD válidos emitidos era de más de mil. A medida que creció la cantidad de TLD también aumentaron las oportunidades para los atacantes.

¿Cómo podemos darnos cuenta?

Si bien no todos los mails de phishing son iguales y en algunos casos pueden resultar difíciles de reconocer, prestando atención a algunos detalles podemos llegar a identificarlos:

Spam: este tipo de mails generalmente ingresa a la carpeta Spam, por lo que recomendamos estar completamente seguros antes de abrir o restaurar a la bandeja de entrada un correo de esta carpeta.

Faltas de ortografía: la mayoría de los mails de phishing poseen faltas de ortografía y mala gramática, ya que muchos de ellos son traducidos en forma automática.

Links falsos: al posicionarse con el puntero del mouse sobre el link (sin hacer clic en él), se podrá observar dónde realmente este nos quiere dirigir. Generalmente esto lo podremos observar en la esquina inferior izquierda del navegador (dependiendo del navegador que estemos utilizando).

Urgencia: en muchos casos se apela a la “urgencia”. Por ejemplo: “Su cuenta ha sido bloqueada y es necesario el cambio de la misma en forma urgente!”, “Hemos detectado una actividad inusual en su cuenta del Banco y esto requiere de su intervención inmediata”. Este tipo de acciones busca que hagamos clic en el link malicioso cuanto antes, sin siquiera dejarnos pensar.

Mails sin nombre: en muchos casos podemos apreciar que el envío de phishing (a excepción del Spear Phishing) no es personalizado y no se incluye nuestro nombre. Por ejemplo, se dirigen a nosotros como: “Estimado Sr/Sra”.

¿Cómo podemos protegernos?

Lo más importante en este punto es usar nuestro sentido común y evitar así entrar en el “juego” que el ciberdelincuente nos propone. De todas maneras existen distintas herramientas y sitios que nos pueden ayudar a prevenir este tipo de ataques, aclararnos el panorama o poder denunciarlos en caso que nos topemos con alguno:

figura 2 2Virustotal: virustotal.com es un sitio que ofrece un servicio gratuito para el análisis de archivos y sitios. Puede comprobar en forma online si un archivo o sitio contiene algún tipo de malware, fue denunciado como phishing, etc. www.virustotal.com

FortiClient: la empresa Fortinet ofrece en forma gratuita este AntiVirus, AntiMalware y WebFiltering, tanto para nuestras computadoras como también para nuestros dispositivos móviles. www.forticlient.com

figura 3 2Alertas Google Chrome: ya hace un tiempo que el navegador Google Chrome incorpora en forma nativa la capacidad de alertar en caso de detectar un sitio sospechoso de contener software malicioso o que está siendo utilizad para realizar una suplantación de identidad.

Extensión de Chrome Netcraft: esta extensión para Google Chrome nos ofrece por un lado identificar en forma sencilla toda la información referente al sitio que estemos visitando y por otro una protección contra phishing. www.redusers.com/u/55d

Extensión de Chrome Pasword Alert: Google ofrece a través de esta extensión ayudarnos y protegernos contra ataques de phishing. Si introducimos nuestra contraseña de Gmail o de Google for Work en sitios diferentes a accounts.google.com, nos llegará una alerta para que estemos al tanto y decidamos si cambiarla o no, dependiendo de si creemos que ésta ha sido comprometida.

También intenta detectar páginas falsas de inicio de sesión de Google para poder alertarnos en caso que hayamos ingresado en alguna de ellas y así evitar el compromiso de nuestras credenciales. www.redusers.com/u/55e

Denunciar Phishing: el equipo de navegación segura de Google dispone de este sitio para que podamos colaborar a través de la realización de denuncias de los sitios de phishing que encontremos. ¡Colaboremos con seriedad! www.redusers.com/u/55f

Anti-Phishing Working Group: dentro de este sitio podremos encontrar infinidad de documentación referida a este tema, como también excelentes recursos que nos ayudarán a armar nuestras campañas de concientización dentro de nuestras empresas. www.antiphishing.org

Conclusiones

A lo largo de este artículo pudimos apreciar distintas artimañas que los ciberdelincuentes utilizan para poder llevar a cabo sus engaños. Si bien algunas de ellas se realizan aprovechando configuraciones deficientes o vulnerabilidades de software, la mayor parte apunta a explotar vulnerabilidades del sistema operativo más importante y este es al que denominamos como “Human OS”.

Solo a través de la educación y tomando conciencia podemos securizar nuestros Sistemas Operativos y así estar cada vez más fuertes para evitar ser víctimas de este tipo de amenazas.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *