Spear Phishing: ¿Cómo Funciona?

Spear Phishing es un correo electrónico dirigido especialmente a un objetivo o grupo de objetivos como una persona, comunidad, organización, empresa, rubro, etc. Se trata, de un vector de ataque el cual se apoya de la ingeniera social para estudiar y realizar inteligencia previa sobre los objetivos de forma tal de construir un ataque dirigido y adecuado al contexto y objetivos. Revisa este articulo aquí, donde hablamos de las diferencias entre los tipos de vectores de ataque mediante correo electrónico. 

Ahora que sabes que es un Spear Phishing: ¿Cómo Se construye?

Como ilustración, hemos simplificado el proceso de elaborar un Spear Phishing en cinco pasos con un grado de abstracción en los detalles propios de este ataque. 

1.- Identificar el/los objetivos.

Primeramente, un ciberdelincuente realizará una investigación de sus objetivos para determinar datos como dominios, correos electrónicos, relación y/o posición en la organización, infraestructura de la organización, contactos, círculo cercano, etc. Todo lo anterior, empleando técnicas de inteligencia de fuentes abiertas (OSINT). Como resultado, obtenemos un perfil del o los objetivos con el cual determinar la estrategia adecuada para construir el Spear Phishing; Si el objetivo es una organización, entonces perfilamos elementos comunes, como servicios, clientes, proveedores, aplicaciones, infraestructura, etc. Luego relacionamos a las personas de forma tal de construir una propuesta convincente. Si el objetivo es una persona, hacemos énfasis en las relaciones, redes sociales, amistades, pasatiempos, lugares, familia, trabajos y todo lo que podamos relacionar.

2.- Técnicas de Evasión

El objetivo de un Spear Phishingg, al igual que el del Whaling, es llegar al Inbox del usuario objetivo. A razón de lo anterior, el proceso de Identificar -anterior- normalmente provee bastante información incluyendo, en muchas ocasiones, las soluciones de seguridad empleadas por el o los objetivos lo cual es un dato relevante para incluir alguna técnica de evasión. Por otro lado, el Spear Phishing es un correo mucho más elaborado que un Phishing normal y, por tanto, hace uso de técnicas anti-Spam con el objetivo de garantizar, en el mayor de los escenarios, llegar directamente al INBOX de los usuarios objetivos. En muchas ocasiones, incluso, el correo es tan simple en términos de texto, diseño y grafica que no requiere tantas técnicas de evasión en cuanto a contenido se refiere.

3.- Canales de Exfiltración

Dependiendo el propósito del Spear Phishing, definir los canales de exfiltración será más o menos complejo. En el escenario más simple, se implementa un landing page con el cual capturar información como, por ejemplo, contraseñas. En un escenario más complejo, nuestro Spear Phishing busca distribuir un payload que nos proveerá de un canal de comunicación mediante, por ejemplo, de un reverse_https con el cual tomar control del equipo afectado o hacer uso, por ejemplo, de consultas DNS para exfiltrar la información del objetivo.

4.- Despliegue

¡Listo y enviar! Normalmente no es así. 

Un Spear Phishing tiene un proceso de investigación el cual busca maximizar la tasa de éxito. El momento del despliegue es también táctico y alineado a la estrategia definida para el o los objetivos. Es decir, si nuestro objetivo usa Sharepoint Online para compartir documentos corporativos, nuestro Spear Phishing es mucho más eficiente en horario laboral que un domingo por la madrugada o si nuestro Spear Phishing es un CEO FRAUD será mucho más efectivo en horarios donde el CEO, por alguna razón, no esté rápidamente disponible.

5.- Cosecha

Entonces, ¿Qué hemos obtenido? Por supuesto que, en función del objetivo, tendremos uno u otro resultado. Siguiendo con los planteamientos anteriores, si nuestro propósito fue obtener credenciales, es momento entonces de verificarlas y disponerlas para las siguientes etapas: venta, usurpación de identidad o elaborar otros ataques (chain attacks). Por otro lado, si nuestro propósito fue obtener un reverse_https, nos toca entonces comenzar el proceso de movimientos laterales y horizontales junto con garantizar la persistencia.

Finalmente, cuando pensamos en un Spear Phishing o en un Whaling (tipo CEO FRAUD), se nos viene a la cabeza un correo altamente elaborado a nivel de diseño y recursos cuando lo cierto es que los Spear Phishing y Whaling más efectivos son los simples, directos y que hacen uso de algunos elementos importantes como la temporalidad, el conocimiento del objetivo, el sentido de la urgencia y, para el caso de un CEO FRAUD, el “peso” de la estructura jerárquica de una organización. 

Menos, es más; Y los ciberdelincuentes cada vez lo tienen más en cuenta.

Conocer las técnicas, tácticas y procedimientos empleados por los ciber delincuentes, nos permite mejorar nuestras defensas como posible objetivo determinando nuestra postura de ciberseguridad. Es lo que nuestro BLUE TEAM realiza.

Conoce más aquí  Blue Team