Del Phishing al smishing
- Reportajes
|
También puedes leer... |
Durante años el phishing no evolucionó demasiado desde el punto de vista técnico y fueron considerados como una forma de spam. Pero las cosas han cambiado. La escala de estos ataques, unido a las tecnologías utilizadas hacen del phishing una gran amenaza. Hoy en día ninguna empresa, independientemente del sector en el que opere, está a salvo del phishing, cuyas principales motivaciones son la extracción de credenciales y el robo de información.
Este tema se publicó en el número de enero de la revista IT Digital Securiy, cuyo tema de portada se centró en la Tecnologías del Engaño, o Deception Technology. Aún stá disponible en este enlace.
Pero empecemos por el principio. ¿Qué es el phishing? Un tipo de ataque en el que los cibercriminales crean una web falsa y utilizan métodos de ingeniería social para intentar atraer a los usuarios a esa web y que introduzcan sus datos personales. El tipo de dato que interesa a los cibercriminales es el que determinará el ataque de phishing. Es decir, si el objetivo es robar los datos para acceder a la cuenta de la red social de la víctima, intentará que los usuarios den su dirección de correo electrónico y contraseña a la red social utilizando un sitio web falso diseñado para parecerse a la red social. Si el objetivo es robar el dinero de la víctima, la web falsa podrá incluir contener un campo para que los usuarios introduzcan sus datos personales, así como los de sus tarjetas de crédito o débito.
Por otra parte, aunque el objetivo específico del ataque de phishing varía, al final lo que se busca es lo mismo: ganar dinero de forma ilegal. Y esto puede hacerse de dos formas, bien robando dinero directamente de la víctima, como en el caso de las páginas falsas del servicio de banca online, los escaparates en línea y suscripciones a juegos en línea; a mediante la venta de los datos robados en el mercado negro.
Según Phishing.org, la primera vez que se utilizó el término de Phishing fue un 2 de enero de 1996, en un grupo de noticias de Usenet llamado AOHell. Explican en esta web que, con el auge de internet y servicios como AOL en 1986, llegaron también comunidades de criminales que conspiraban para robar la información de usuarios de Internet; en AOHell, por ejemplo, se usaron credenciales de tarjetas de crédito falsas para obtener acceso a Internet. A menudo los cibercriminales se presentaban como soporte al cliente para robar datos de clientes reales que pagaban y empezaron a establecer también páginas web falsas.
Durante los primeros tiempos, los ciberdelincuentes empleaban técnicas de ingeniería social bastante simples, pero fueron mejorando. Y cuando el correo electrónico comenzó a ganar fuerza como el principal medio de comunicación para las personas y las organizaciones, atrajo a criminales para continuar sus actividades en ese espacio. Corrían los primeros años del nuevo siglo cuando los famosos correos del Príncipe Nigeriano se hicieron muy populares, al igual que los que comunicaban a la víctima que eran descendientes de una línea real.
Con el tempo el término phishing se hizo más popular, la gente tomó conciencia de la amenaza y los ciberdelincuentes tuvieron que afinar los correos electrónicos y las páginas de inicio, cada vez más similares a lo que la gente esperaría recibir para que el engaño siguiera funcionando, para que el phishing siguiera sumando víctimas, una tras otra, tras otra. En realidad, y por aquellos tiempos, sólo había que fijarse un poco, fijarse en ese error tipográfico, en ese error de diseño, es ese “algo diferente” que hacía sospechar que algo estaba mal y que se trataba de una estafa.
No por ello el phishing dejó de funcionar. Aún hoy funciona, y lo hace porque cada vez es más creíble, es rentable, y la gente pica”, dice Eduardo Martín Fuentes, Ingeniero de Sistemas de FireEye.
Del mismo parecer es Tyler Moffitt, Senior Threat Research Analyst de Webroot, para quién “los sitios comprometidos ahora son casi indistinguibles entre sus homólogos legítimos”, al tiempo que nos recuerda que, según Verizon, se detectó phishing en el 90% de las infracciones e incidentes de seguridad.
El phishing se ha vuelto mucho más avanzado ahora, con un pequeño cambio, la técnica de correo electrónico solo se usa el 12% del tiempo. Gran parte del phishing de los últimos años se ha basado en navegador. Aquí entran en juego temas como JavaScript, un lenguaje que permite a un cibercriminal hacer que un enlace en una página parezca decir una cosa y conducir a otra. Los enlaces falsos combinados con una sofisticación en la replicación de sitios web legítimos presentan una combinación muy peligrosa. Para individuos y organizaciones por igual.
Usuarios, eslabón débil
Según un informe de Verizon, un atacante que envíe diez correos electrónicos de phishing tiene un 90% por ciento de posibilidades de que una persona caiga en la trampa. Una cifra que resulta razonable si se tiene en cuenta el contexto de los cientos de usuarios que no están atentos a la tecnológica. Si se suma el hecho de que muchas estafas están cuidadosamente diseñadas resulta complicado que los usuarios sepan cuándo un mensaje parece un poco extraño.
Preguntado sobre si la formación o concienciación a los empleados podría suponer una mejora en la detección de los mensajes de phishing, Tyler Moffitt dice que es “increíblemente difícil” asegurar el enlace más débil para la mayoría de las empresas, que es el usuario final. Añade el ejecutivo que de acuerdo con el Informe de Verizon 2017 sobre Incumplimiento de Datos, el 65% de todos los incidentes de seguridad cibernética en el último año involucraron un error humano. “Es importante que todas las empresas inviertan en capacitación formal sobre seguridad para ayudar a educar a los usuarios finales y reducir los riesgos”, dice también el Senior Threat Research Analyst de Webroot.
Desde FireEye, Eduardo Martín aseguran que por más que la formación a los empleados esté creciendo, “el problema que tenemos es que están atacando con mensajes que son muy creíbles para cualquiera de nosotros”. Y habla el ejecutivo de una tendencia que está detectando entre sus clientes, que es el interés de las empresas por formar a los empleados, de darles capacidades para que puedan diferenciar un phishing, incluso mediante auditorías. Pero también habla del ritmo frenético en el que nos movemos y que hace que ni siquiera “nos fijemos en los detalles”, lo que dificulta que el phishing sea detectado.
Cuando el phishing comienza desde dentro
Una preocupación creciente entre los profesionales de seguridad son los ataques de phishing interno -correos electrónicos de phishing enviados por un usuario de confianza a otro de la misma organización. Explica Trend Micro que los emails de phishing internos se utilizan en ataques multietapa en los que una cuenta de correo es capturada, ya sea controlando a los usuarios del dispositivo con malware que ha sido instalado previamente, o bien comprometiendo las credenciales de la cuenta del usuario. Los emails de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsiones, y es común en los patrones de Business Email Compromise (BEC) diseñados para robar dinero. Puesto que el remitente es un usuario interno y en el que se confianza, es más probable que el destinatario tome medidas y actúe siguiendo ese mensaje de correo electrónico.
Entre los ejemplos de phishing interno propuestos por Trend Micro destaca el que Eye Pyramid, cuyos atacantes llevaron a cabo una exitosa campaña de robo de información durante años antes de que, a principios de este año, pudieran ser llevados a los tribunales. Su técnica favorita consistía en pasar de un usuario a otro usando emails de phishing con un archivo adjunto malicioso. El mensaje adjunto contenía malware que recopilaba y extraía información, incluyendo direcciones de correo electrónico que se utilizaban en los siguientes objetivos. Sus métodos, que comprometieron más de 100 dominios de correo electrónico y 18.000 cuentas de email, tuvieron el sello de un ataque patrocinado por un Estado, pero sorprendentemente fue puesto en marcha por un ingeniero nuclear italiano y su hermana, que buscaban sacar provecho de la información.
Otro ejemplo fue el ataque de phishing interno contra el Financial Times hace unos años. El atacante (más tarde se supo que era el Ejército Electrónico Sirio) utilizó una cuenta de email comprometida para enviar correos de phishing internos con el fin de robar credenciales de cuentas adicionales. Cuando el departamento de TI conoció la existencia de estos ataques internos de phishing, envió un email de advertencia a todos los usuarios en el que se incluía un enlace para cambiar las contraseñas. El problema fue que el atacante vio dicho correo del área de TI y cambió el link a su propio website de phishing. Al final, los atacantes tuvieron acceso a todos los sistemas que necesitaban, pero decidieron que el Financial Times era un "mal menor" y continuaron atacando a otras compañías de medios.
El Phishing en cifras
No cabe duda de que el phishing evoluciona, y quizá tenga más éxito, o sea más rentable. Que hayan aparecido nuevas formas de esta lacra en los últimos años, lo demuestra. Pero lo que recohe el Internet Security Threat Report (ISTR) 22 de Symantec, publicado en abril de 2017, es que la cantidad de phishing se ha reducido en los últimos años, incluido en 2016, cuando sse detectó un phishing por cada 2.596 emails, frente al ratio de uno por casa 1.846 correos del año anterior.
Se detectó una reducción notable en octubre de 2016, cuando la tasa de phishing se mantuvo en uno de cada 5.313 correos electrónicos, antes de que la tasa regresara a una cifra más promedio de uno por cada 2.621 correos en noviembre. Explica Symantec en su informe que se produjeron varios eventos de seguridad por aquellas fechas, incluida la botnet Mirai, protagonista de un ataque denegación de servicio distribuido (DDoS) en el proveedor de DNS Dyn, que afectó a varios sitios web de alto perfil, incluyendo Spotify, Netflix y PayPal. También hubo informes de un aumento de la actividad en torno a la familia de amenazas Kovter (Trojan.Kotver). “Sin embargo, no hay una sola razón clara por la cual la tasa de phishing cayó tan bruscamente ese mes”, asegura Symantec.
Para Tyler Moffitt, Senior Threat Research Analyst de Webroot, la mejor manera de evitar convertirse en una víctima del phishing es “implementar una solución de seguridad de varias capas en su empresa u hogar, específicamente con tecnología antiphishing en tiempo real. Es igualmente importante agregar capacitación en concientización de seguridad para todos los usuarios finales, que incluye cursos de capacitación especializados y herramientas de simulación de phishing. Además, es importante que todos los usuarios finales pasen el mouse sobre un enlace antes de hacer clic. La mejor manera de identificar la mayoría de los sitios de phishing es la URL, que será diferente a la URL del sitio legítimo.
TIPOS DE PHISHING
La evolución del phishing implica la existencia de diferentes tipos de ataques de phishing, empezando por el llamado Deceptive Phishing, o Phishing Engañoso, que es el más común. Es aquel en que un atacante intenta obtener información confidencial de las víctimas; un email falso de un banco pidiéndote que pinches en un enlace para verificar los detalles de tu cuenta en un buen ejemplo de este tipo de phishing.
Spear Phishing, o Phishing Dirigido, busca individuos o grupos específicos. Requiere cierto trabajo de investigación sobre las víctimas para poder personalizar los mensajes y parecer más auténticos. A menudo un Spear Phishing es el primer paso utilizado para penetrar en las defensas de una compañía y lanzar un ataque dirigido.
Cuando los ciberdelincuentes van a por un alto ejecutivo de la compañía, un CEO, lo que llamamos “un pez gordo”, el ataque de phishing se hace llamar Whaling. Este tipo de ataques, que lo que buscan son robar credenciales, requieren mucho más tiempo, no sólo en cuanto al diseño del ataque, sino en encontrar el momento oportuno.
Muy similar al Phishing, el Pharming consiste en enviar a los usuarios hace páginas web falsas que parecen ser legítimas. En este caso, la diferencia es que las víctimas ni siquiera tienen que pinchar en un enlace malicioso porque los atacantes han infectado el ordenador y redirigen al usuario al sitio falso, incluso cuando se escribe la URL correcta.
El Vishing, o Voice Phishing, es aquel en el que un usuario recibe una llamada con mensaje de voz que dice estar llamando de una institución financiera. El mensaje podría pedirle a la víctima el número y PIN de su cuenta. En los últimos meses se ha detectado una campaña en la que una llamada pretendía proceder del soporte de Apple para proporcionar a los usuarios un número para que realicen una llamada con el fin de resolver “un problema de seguridad”.
El Smishing, o SMS Phishing, es un nuevo tipo de estafa en la que los estafadores envían un mensaje de texto a un teléfono móvil. Los mensajes generalmente le piden a las personas que hagan clic en un enlace o llamen a un número de teléfono. A continuación, se pedirá a la víctima que divulgue información personal a los delincuentes, que se hacen pasar por un banco o una tienda en línea.
