Hace unos días, conversaba con un cliente respecto de cómo ha evolucionado “el SPAM” que recibimos hoy en día desde la época de los primeros servicios de correo electrónico y claro, entre medio, un poco añorando esos tranquilos años. Mi cliente, como líder de negocio, normalmente revisa toda la cantidad de correos que tiene en su INBOX “no sea que pierda alguna oportunidad de negocio”. Entonces, le pregunte, 

- “oye ¿y qué estás haciendo con el Phishing? ¿Tu equipo de trabajo conoce los riesgos?”.

- Como buen cliente me dice “No me quieras vender nada. El equipo lleva toda una vida digital separando

correo de SPAM”. Además, ya tengo la mejor solución AntiSpam implementada en el servicio de correo.”

- Por supuesto, luego de reírnos, le contesté:

- Entonces… ¿Y el Phishing?

- Algo he leído. Otro tipo de SPAM – Me dijo.

En un contexto mucho más distendido le expliqué que el Pishing, hoy se emplea con mucha normalidad y muy a menudo por representar la evolución digital del engaño usando, por supuesto, el correo electrónico y otros mecanismos para su operación.

La palabra o termino Phishing es empleado para referirse a aquellos correos que tienen por objetivo estafar y/o engañar al usuario o receptor de estos con el propósito de obtener, de manera fraudulenta, información relevante como contraseñas, información u otros o, también, propagar e infectar con malware el dispositivo de usuario o víctima empleando mecanismos psicológicos como la urgencia, la oportunidad, la escases, etc.

El propósito, es forzar al usuario a realizar alguna acción. Sea esta para propagar malware o robar y obtener información confidencial como:

• Direcciones de correo
• Información personal (Rut, nombres, dirección, teléfonos, etc.)
• Número de tarjetas de crédito
• Información de cuentas bancarias
• Redes sociales
• Información Personal
• Información Laboral Otras
  
  

El Phishing, tal y como lo hemos descrito, evolucionada constantemente para mejorar las técnicas empleadas haciendo uso del contexto actual o particular que en este sucediendo en la región, ciudad, país, mundo, etc. Aun así, podemos detectarlo; Normalmente son campañas masivas que apuntan a “tomar” todo lo que se pueda “pescar” generalizando el mensaje o técnica de Phishing empleada. Entonces, se trata de correos con poca o nula personalización de una complejidad simple a media facilitando la identificación. También, al ser campañas masivas; Las soluciones de ciberseguridad detectan estas amenazas y las reportan a los distintos filtros de seguridad.

- Qué buena explicación. Simple. ¿Podrías hacer una charla al equipo

aprovechando que estas acá? – Me respondió mi cliente mientras reía.

- Claro. Le respondí rápidamente.

- De hecho, podemos agregar un poco más… ¿Te parece?

- Maravilloso. No más de una hora. -Me contestó.

- Mira que después la factura… - Terminó mientras reía.

- No te preocupes por facturas hoy. 

- Le respondí mientras coordinábamos al equipo. 

Y repasando todo lo anterior conversado con mi cliente y su equipo, mientras tomábamos un café, extendimos en dos especializaciones del Phishing que, ciertamente, son preocupantes.

Spear Phising

Se trata de una variante de Phishing con la particularidad de ser “dirigido” a grupos reducidos o personas especificas con lo cual el nivel de personalización es bastante mayor al del Phishing normal. El principal objetivo del Spear Phishing es acompañar campañas de ataques APT (Advanced Persistent Threat) apuntando los esfuerzos hacia perfiles determinados que podrían proveer una alta efectividad a la campaña como objetivos finales o intermediarios siendo estos últimos quienes proveerán de más información para el objetivo final. La personalización que realiza el Spear Phising permite usar el nombre, dirección, correos o cualquier otro dato tanto de los OBJETIVOS como del entorno de estos extendiendo la investigación hacia círculos cercanos laborales y personales. Lo anterior, supone un nivel de complejidad mayor en la identificación de este tipo de correos y aumenta la tasa de éxito del ataque.

¿Y el Whaling?

Whaling se refiere a una “pesca mayor”; Se trata de un tipo de Phishing que lleva un paso más allá el Spear Phishing tomando sus bases y haciendo una focalización altamente dirigida y especializada (no necesariamente en términos de técnicas, gráficas o diseño). Es decir, el Whaling apunta directamente a los peces gordos, aquellos usuarios clave de una organización: DIRECTORES, CEO, CFO, CTO, CISO, etc. Pero no solo a este nivel, también lo extiende hacia cualquier perfil clave para la organización o el contexto. Los ataques tipo CEO FRAUD y BEC son tipos de Whaling altamente dirigidos.

El Whaling emplea una personalización única para elaborar el engaño mediante el uso de amplios y detallados conocimientos del OBJETIVO y todo su entorno: 

Datos personales, hábitos, servicios usados, lugares frecuentados, intereses, gustos, contactos, familiares, mascotas, etc. El resultado puede ser devastador, el nivel de complejidad para su detección es ALTO y COMPLEJO y posee, cuando es correctamente ejecutado, una alta tasa de efectividad. Normalmente, este tipo de ataques requiere de un esfuerzo e inversión de recursos enormes considerando de que, también, normalmente el OBJETIVO es un grupo muy reducido de objetivos e incluso único.

Ataques como los perpetrados a JPMorgan Chase & Co, eBay, Target, Ubiquiti Networks, Sony Pictures y muchos otros, han sido obra y arte de alguna variante de la familia del Phishing junto, por supuesto, a técnicas de ingeniería social.

El Phishing, Spear Phishing y el Whaling, acompañados de un adecuado proceso de Information Gathering junto a una estudiada y planificada táctica de Ingeniería Social, representa un elevado riesgo el cual deben ser considerado. Riesgo que ataca dónde más nos duele, en el eslabón más débil de la cadena… el usuario. De hecho, es hoy por hoy, junto a la explotación de vulnerabilidades técnicas, el vector común de distribución de malware tipo ransomware.

¿Y cómo terminamos? Ya no queda café. 

Algunas sugerencias

• Controla la entrega de datos (Correo, Teléfono, etc.)
• Limita la información personal en tus redes sociales
• Verifica y valida el origen del correo
• ¿Tienes Dudas? Llama.
• No hacer click sobre los enlaces. Escribir completamente la dirección en el navegador
• Sí. Es molesto. ¿Tu solución de ciberseguridad no hace esto por ti?
• Revisar los links (editar) para verificar hacia donde se dirigen realmente
• Igual al punto anterior.
• Sí hay dudas sobre el correo recibido. Bórralo
• No. No te has ganado ese viaje todo pagado donde solo debes validar la reserva online.
  
  Finalmente, termina señalando a mi cliente que la concientización de todo su equipo es determinante, dado que provee a estos de herramientas para abordar este tipo de riesgos y, principalmente, les hace consciente de estos riesgos y del rol que ellos tienen como primera y última línea de defensa.

Ciertamente fue un buen café.

César Millavil A

C|EH – LA|ISO27001 – LM|ISO27032