El peligro del phishing interno
- Actualidad
Los emails de phishing internos se utilizan en ataques multietapa, en ataques dirigidos, y son comunes en los patrones de Business Email Compromise (BEC).
Con más de 20 años de historia a sus espaldas, el phishing sigue creciendo y además se ha convertido en el método preferido de extracción de datos de las empresas. Las tácticas han evolucionado y ahora la amenaza no sólo llegue de fuera, sino desde dentro de las empresas: un correo de phishing enviado por un usuario de confianza a otro de la misma organización.
También puedes leer... Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad |
Explica Trend Micro que los emails de phishing internos se utilizan en ataques multietapa en los que una cuenta de correo es capturada, o bien comprometiendo las credenciales de la cuenta del usuario. Los emails de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsiones, y es común en los patrones de Business Email Compromise (BEC) diseñados para robar dinero. “Puesto que el remitente es un usuario interno y en el que se confianza, es más probable que el destinatario tome medidas y actúe siguiendo ese mensaje de correo electrónico”, explica la compañía.
Un ejemplo de campaña de phishing interno fue la campaña de ataque dirigido Eye Pyramid. La técnica favorita de los atacantes consistía en pasar de un usuario a otro usando emails de phishing con un archivo adjunto malicioso. El mensaje adjunto contenía malware que recopilaba y extraía información, incluyendo direcciones de correo electrónico que se utilizaban en los siguientes objetivos. Sus métodos, que comprometieron más de 100 dominios de correo electrónico y 18.000 cuentas de email, tuvieron el sello de un ataque patrocinado por un Estado, pero sorprendentemente fue puesto en marcha por un ingeniero nuclear italiano y su hermana, que buscaban sacar provecho de la información.
Pero no todo está perdido, ya que hay maneras de reducir el impacto de los ataques de phishing internos. Una de ellas es la implementación de sistemas de autenticación multifactorial (MFA) para reducir el riesgo de que un atacante obtenga el control de las credenciales de la cuenta robada.
En todo caso, también es conveniente analizar el tráfico del correo entrante y saliente. Un primer método para ello es emplear la función de registro diario de los sistemas de correo electrónico para enviar una copia de cada email interno a un servicio de seguridad que lo analizará offline. El reto en este caso es que a veces el análisis es más lento que el tiempo que tarda un malware en actuar, por lo que a veces es demasiado tarde. Por eso llegaron las Soluciones de servicio Integradas, que hace unos de una API para alertar a la solución de seguridad de que ha llegado un email y puede ocultar el correo a los usuarios hasta que se complete el análisis. Las integraciones de servicios on-premise están disponibles como software para servidores Microsoft Exchange e IBM Domino. Las soluciones basadas en API también están disponibles para sistemas de correo electrónico en la nube, como Microsoft Office 365, si el proveedor pone las API disponibles para las soluciones de seguridad.