CompuNetGroup - Blog CompunetGroup #spear phishing

¿Cómo puedo proteger a mi empresa de ciberataques?

Thu, 18 May 2023 15:00:26 -0400

Internet, hoy, es la plataforma de comunicación y comercial más grande, amplia, inclusiva y costo-efectiva. Sin duda, ha permitido digitalizar negocios y acceder a una cantidad exponencial de posibles clientes permitiendo el intercambio de valor a toda escala.

Y es también un vector de amenazas y riesgos para empresas, personas y niños. Se estima que concentramos cerca del 90% de nuestros datos personales, laborales y financieros en esta red. Pese a sus beneficios esto abre las puertas a invitados no deseados, los ciber delincuentes. Además, como los datos son tratados y usados es una preocupación cada vez más constante en las empresas y personas; En un estudio realizado por Observatorio Digital y CustomTrigger, se afirma que 9 de cada 10 persona considera que las empresas, públicas y privadas, se benefician del intercambio de información privada (Fuente: Observatorio de Sociedad Digital y CustomTrigger, 2022).

Pese a los múltiples esfuerzos de entidades público y privadas, la ciberseguridad se mantiene como una problemática transversal que afecta tanto a empresas como personas buscando, en ambos casos, el revenue. Es decir, lucrar de alguna u otra manera sea a través de la extorsión, el daño de imagen, el secuestro digital, etc. Chile, si bien lento, ha estado trabajando en una serie de medidas que buscan adecuar la legislación al panorama de amenazas actuales siendo la Ley de Protección de Datos Personales (antigua: 1999 en un contexto bastante distinto y con una inclusión constitucional en 2018 consagrando la protección de datos personales a nivel constitucional) y la nueva ley de Delitos Informáticos (gran avance) busca hacer frente a estos riesgos proporcionando mecanismos jurídicos para actuar frente a ellos.

Así lo corroboró el último informe del panorama de riesgos mundiales del foro económico mundial (https://www3.weforum.org/docs/WEF_Global_Risks_Report_2023.pdf) donde un alto crecimiento del cibercrimen y los riesgos de ciberseguridad se posicionan en el octavo lugar. A nivel local, desde la Policía de Investigaciones de Chile firman que los ciber-delitos han aumentado en un 61% respecto de 2021 y 2023 y que este tipo de crímenes se ha sofisticado en términos de las herramientas que se emplean para su ejecución.

¿Qué hacemos?

Ante este adverso escenario, el desafío de empresas y entidades está en cómo gestionar correctamente su ciberseguridad mediante una postura activa y proactiva que permita incorporar los riesgos de ciberseguridad en la gestión corporativa para abórdalos, tratarlos y minimizarlos antes que estos se materialicen considerando, para esto, las distintas fuerzas que ejercen partes externas, la ley, clientes, socios, partner y proveedores como los propios objetivos del negocio. Se trata de gestionar la ciberseguridad protegiendo la información del negocio, de clientes, de las personas, proteger la red, la continuidad y más. Sin duda se trata de un desafío no menor que, hoy por hoy, debe ser incorporado en todas las organizaciones y también en las personas desde la perspectiva de cuánta información entrega y a quienes lo hace.

El factor humano, a nivel corporativo, es demasiado importante en particular frente al riesgo de phishing o el engaño para entrar en los sistemas; El rol de los usuarios es fundamental para mitigar el impacto de un ataque cibernético, ya que ataques como el phishing e ingeniería social requieren de la interacción de personas para su éxito o fracaso.

El desafío de las organizaciones está en implementar una cultura basada en los riesgos posibles, en general y en particular relacionados con ciberseguridad. Sin duda, todos y cada uno de los colaboradores y personas componen la primera línea de defensa frente a ciberataques siendo la premisa, que el usuario es el eslabón más débil de toda la cadena y es, por lejos, más costo-eficiente buscar vulnerar a una persona que un control técnico implementado (un firewall, un cifrado, un endpoint; Solo por poner algún ejemplo). Por ello, la ciberseguridad debe (y lo es) ser considera como un proceso y como tal debe ser integrado a la gestión corporativa alineado a los objetivos de negocio, necesidades y requerimiento de una organización.

Entonces, ¿Cómo podemos hacer frente al cibercrimen? A nivel de negocios, incorporar la gestión de riesgos de seguridad de la información y ciberseguridad. Existen. Están ahí, están siendo altamente explotados y debemos considerar el impacto que la materialización de un riesgo de este tipo para el negocio. Desde ahí, sin duda hay muchas medidas que nacen desde el tratamiento de estos riesgos. Siendo directos, al menos considera:

Siempre mantener actualizado los sistemas y aplicaciones empleadas, lo cual ayudará a reducir brechas de seguridad que puedan existir
Una de las herramientas más efectivas para los ciberdelincuentes es el engaño. Concientiza y educa a todos tus colaboradores. Es fundamental.
Busca algún socio de negocios que te apoye. Es imprescindible. Delega en aquellos que saben.

Realizar un análisis de tu actual postura de ciberseguridad y desde aquí, con este resultado, establece un roadmap que te permita llegar a determinado estado de gestión de ciberseguridad.

Finalmente, re recomiendo este articulo: https://www.compunetgroup.net/blogs/post/prácticas-recomendadas-para-proteger-tu-red-del-ransomware Sin duda te será de ayuda.

El desafío que tenemos es grande y nos corresponde hacerle frente juntos. Las amenazas de ciberseguridad no son “algo” que solo está en películas, libros y series. Es una realidad que, hoy por hoy, representa el tercer mayor negocio a nivel mundial luego de las armas y el tráfico de drogas y se proyecta, para 2025, que pasará al primer lugar superando, por primera vez en la historia, a las armas y las drogas. Preocupante, sin duda.

Escrito por: César Millavil A.

Spear Phishing: ¿Cómo Funciona?

Fri, 09 Dec 2022 09:47:24 -0300

Spear Phishing: ¿Cómo Funciona?

Aproximadamente, el 91% de los ciberataques inician con un Spear Phishing

(KnownBe4)

Spear Phishing es un correo electrónico dirigido especialmente a un objetivo o grupo de objetivos como una persona, comunidad, organización, empresa, rubro, etc. Se trata, de un vector de ataque el cual se apoya de la ingeniera social para estudiar y realizar inteligencia previa sobre los objetivos de forma tal de construir un ataque dirigido y adecuado al contexto y objetivos. Revisa este articulo aquí, donde hablamos de las diferencias entre los tipos de vectores de ataque mediante correo electrónico.

Ahora que sabes que es un Spear Phishing: ¿Cómo Se construye?

Como ilustración, hemos simplificado el proceso de elaborar un Spear Phishing en cinco pasos con un grado de abstracción en los detalles propios de este ataque.

1.- Identificar el/los objetivos.

Primeramente, un ciberdelincuente realizará una investigación de sus objetivos para determinar datos como dominios, correos electrónicos, relación y/o posición en la organización, infraestructura de la organización, contactos, círculo cercano, etc. Todo lo anterior, empleando técnicas de inteligencia de fuentes abiertas (OSINT). Como resultado, obtenemos un perfil del o los objetivos con el cual determinar la estrategia adecuada para construir el Spear Phishing; Si el objetivo es una organización, entonces perfilamos elementos comunes, como servicios, clientes, proveedores, aplicaciones, infraestructura, etc. Luego relacionamos a las personas de forma tal de construir una propuesta convincente. Si el objetivo es una persona, hacemos énfasis en las relaciones, redes sociales, amistades, pasatiempos, lugares, familia, trabajos y todo lo que podamos relacionar.

2.- Técnicas de Evasión

El objetivo de un Spear Phishingg, al igual que el del Whaling, es llegar al Inbox del usuario objetivo. A razón de lo anterior, el proceso de Identificar -anterior- normalmente provee bastante información incluyendo, en muchas ocasiones, las soluciones de seguridad empleadas por el o los objetivos lo cual es un dato relevante para incluir alguna técnica de evasión. Por otro lado, el Spear Phishing es un correo mucho más elaborado que un Phishing normal y, por tanto, hace uso de técnicas anti-Spam con el objetivo de garantizar, en el mayor de los escenarios, llegar directamente al INBOX de los usuarios objetivos. En muchas ocasiones, incluso, el correo es tan simple en términos de texto, diseño y grafica que no requiere tantas técnicas de evasión en cuanto a contenido se refiere.

3.- Canales de Exfiltración

Dependiendo el propósito del Spear Phishing, definir los canales de exfiltración será más o menos complejo. En el escenario más simple, se implementa un landing page con el cual capturar información como, por ejemplo, contraseñas. En un escenario más complejo, nuestro Spear Phishing busca distribuir un payload que nos proveerá de un canal de comunicación mediante, por ejemplo, de un reverse_https con el cual tomar control del equipo afectado o hacer uso, por ejemplo, de consultas DNS para exfiltrar la información del objetivo.

4.- Despliegue

¡Listo y enviar! Normalmente no es así.

Un Spear Phishing tiene un proceso de investigación el cual busca maximizar la tasa de éxito. El momento del despliegue es también táctico y alineado a la estrategia definida para el o los objetivos. Es decir, si nuestro objetivo usa Sharepoint Online para compartir documentos corporativos, nuestro Spear Phishing es mucho más eficiente en horario laboral que un domingo por la madrugada o si nuestro Spear Phishing es un CEO FRAUD será mucho más efectivo en horarios donde el CEO, por alguna razón, no esté rápidamente disponible.

5.- Cosecha

Entonces, ¿Qué hemos obtenido? Por supuesto que, en función del objetivo, tendremos uno u otro resultado. Siguiendo con los planteamientos anteriores, si nuestro propósito fue obtener credenciales, es momento entonces de verificarlas y disponerlas para las siguientes etapas: venta, usurpación de identidad o elaborar otros ataques (chain attacks). Por otro lado, si nuestro propósito fue obtener un reverse_https, nos toca entonces comenzar el proceso de movimientos laterales y horizontales junto con garantizar la persistencia.

Finalmente, cuando pensamos en un Spear Phishing o en un Whaling (tipo CEO FRAUD), se nos viene a la cabeza un correo altamente elaborado a nivel de diseño y recursos cuando lo cierto es que los Spear Phishing y Whaling más efectivos son los simples, directos y que hacen uso de algunos elementos importantes como la temporalidad, el conocimiento del objetivo, el sentido de la urgencia y, para el caso de un CEO FRAUD, el “peso” de la estructura jerárquica de una organización.

Menos, es más; Y los ciberdelincuentes cada vez lo tienen más en cuenta.

Conocer las técnicas, tácticas y procedimientos empleados por los ciber delincuentes, nos permite mejorar nuestras defensas como posible objetivo determinando nuestra postura de ciberseguridad. Es lo que nuestro BLUE TEAM realiza.

Conoce más aquí Blue Team

El SPAM, ¿Otra forma de Phishing?

Wed, 07 Dec 2022 10:25:42 -0300

El SPAM. ¿Otra forma de Phishing?

Hace unos días, conversaba con un cliente respecto de cómo ha evolucionado “el SPAM” que recibimos hoy en día desde la época de los primeros servicios de correo electrónico y claro, entre medio, un poco añorando esos tranquilos años. Mi cliente, como líder de negocio, normalmente revisa toda la cantidad de correos que tiene en su INBOX “no sea que pierda alguna oportunidad de negocio”. Entonces, le pregunte,

- “oye ¿y qué estás haciendo con el Phishing? ¿Tu equipo de trabajo conoce los riesgos?”.

- Como buen cliente me dice “No me quieras vender nada. El equipo lleva toda una vida digital separando

correo de SPAM”. Además, ya tengo la mejor solución AntiSpam implementada en el servicio de correo.”

- Por supuesto, luego de reírnos, le contesté:

- Entonces… ¿Y el Phishing?

- Algo he leído. Otro tipo de SPAM – Me dijo.

En un contexto mucho más distendido le expliqué que el Pishing, hoy se emplea con mucha normalidad y muy a menudo por representar la evolución digital del engaño usando, por supuesto, el correo electrónico y otros mecanismos para su operación.

La palabra o termino Phishing es empleado para referirse a aquellos correos que tienen por objetivo estafar y/o engañar al usuario o receptor de estos con el propósito de obtener, de manera fraudulenta, información relevante como contraseñas, información u otros o, también, propagar e infectar con malware el dispositivo de usuario o víctima empleando mecanismos psicológicos como la urgencia, la oportunidad, la escases, etc.

El propósito, es forzar al usuario a realizar alguna acción. Sea esta para propagar malware o robar y obtener información confidencial como:

Direcciones de correo
Información personal (Rut, nombres, dirección, teléfonos, etc.)
Número de tarjetas de crédito
Información de cuentas bancarias
Redes sociales
Información Personal
Información Laboral Otras

El Phishing, tal y como lo hemos descrito, evolucionada constantemente para mejorar las técnicas empleadas haciendo uso del contexto actual o particular que en este sucediendo en la región, ciudad, país, mundo, etc. Aun así, podemos detectarlo; Normalmente son campañas masivas que apuntan a “tomar” todo lo que se pueda “pescar” generalizando el mensaje o técnica de Phishing empleada. Entonces, se trata de correos con poca o nula personalización de una complejidad simple a media facilitando la identificación. También, al ser campañas masivas; Las soluciones de ciberseguridad detectan estas amenazas y las reportan a los distintos filtros de seguridad.

- Qué buena explicación. Simple. ¿Podrías hacer una charla al equipo

aprovechando que estas acá? – Me respondió mi cliente mientras reía.

- Claro. Le respondí rápidamente.

- De hecho, podemos agregar un poco más… ¿Te parece?

- Maravilloso. No más de una hora. -Me contestó.

- Mira que después la factura… - Terminó mientras reía.

- No te preocupes por facturas hoy.

- Le respondí mientras coordinábamos al equipo.

Y repasando todo lo anterior conversado con mi cliente y su equipo, mientras tomábamos un café, extendimos en dos especializaciones del Phishing que, ciertamente, son preocupantes.

Spear Phising

Se trata de una variante de Phishing con la particularidad de ser “dirigido” a grupos reducidos o personas especificas con lo cual el nivel de personalización es bastante mayor al del Phishing normal. El principal objetivo del Spear Phishing es acompañar campañas de ataques APT (Advanced Persistent Threat) apuntando los esfuerzos hacia perfiles determinados que podrían proveer una alta efectividad a la campaña como objetivos finales o intermediarios siendo estos últimos quienes proveerán de más información para el objetivo final. La personalización que realiza el Spear Phising permite usar el nombre, dirección, correos o cualquier otro dato tanto de los OBJETIVOS como del entorno de estos extendiendo la investigación hacia círculos cercanos laborales y personales. Lo anterior, supone un nivel de complejidad mayor en la identificación de este tipo de correos y aumenta la tasa de éxito del ataque.

¿Y el Whaling?

Whaling se refiere a una “pesca mayor”; Se trata de un tipo de Phishing que lleva un paso más allá el Spear Phishing tomando sus bases y haciendo una focalización altamente dirigida y especializada (no necesariamente en términos de técnicas, gráficas o diseño). Es decir, el Whaling apunta directamente a los peces gordos, aquellos usuarios clave de una organización: DIRECTORES, CEO, CFO, CTO, CISO, etc. Pero no solo a este nivel, también lo extiende hacia cualquier perfil clave para la organización o el contexto. Los ataques tipo CEO FRAUD y BEC son tipos de Whaling altamente dirigidos.

El Whaling emplea una personalización única para elaborar el engaño mediante el uso de amplios y detallados conocimientos del OBJETIVO y todo su entorno:

Datos personales, hábitos, servicios usados, lugares frecuentados, intereses, gustos, contactos, familiares, mascotas, etc. El resultado puede ser devastador, el nivel de complejidad para su detección es ALTO y COMPLEJO y posee, cuando es correctamente ejecutado, una alta tasa de efectividad. Normalmente, este tipo de ataques requiere de un esfuerzo e inversión de recursos enormes considerando de que, también, normalmente el OBJETIVO es un grupo muy reducido de objetivos e incluso único.

Ataques como los perpetrados a JPMorgan Chase & Co, eBay, Target, Ubiquiti Networks, Sony Pictures y muchos otros, han sido obra y arte de alguna variante de la familia del Phishing junto, por supuesto, a técnicas de ingeniería social.

El Phishing, Spear Phishing y el Whaling, acompañados de un adecuado proceso de Information Gathering junto a una estudiada y planificada táctica de Ingeniería Social, representa un elevado riesgo el cual deben ser considerado. Riesgo que ataca dónde más nos duele, en el eslabón más débil de la cadena… el usuario. De hecho, es hoy por hoy, junto a la explotación de vulnerabilidades técnicas, el vector común de distribución de malware tipo ransomware.

¿Y cómo terminamos? Ya no queda café.

Algunas sugerencias

Controla la entrega de datos (Correo, Teléfono, etc.)
Limita la información personal en tus redes sociales
Verifica y valida el origen del correo
¿Tienes Dudas? Llama.
No hacer click sobre los enlaces. Escribir completamente la dirección en el navegador
Sí. Es molesto. ¿Tu solución de ciberseguridad no hace esto por ti?
Revisar los links (editar) para verificar hacia donde se dirigen realmente
Igual al punto anterior.
Sí hay dudas sobre el correo recibido. Bórralo
No. No te has ganado ese viaje todo pagado donde solo debes validar la reserva online.

Finalmente, termina señalando a mi cliente que la concientización de todo su equipo es determinante, dado que provee a estos de herramientas para abordar este tipo de riesgos y, principalmente, les hace consciente de estos riesgos y del rol que ellos tienen como primera y última línea de defensa.

Ciertamente fue un buen café.

César Millavil A

C|EH – LA|ISO27001 – LM|ISO27032