Phishing: estado la ciberamenaza multiplataforma en 2019

Son muchas las amenazas que ponen en peligro la vulnerabilidad de nuestros datos en internet. Habremos escuchado conceptos como malware, ransomware, violaciones de datos, amenaza de IoT, ataques de botnets… Sin embargo, si habláramos del enemigo por excelencia de la ciberseguridad nos referiríamos al phishing, pero ¿hasta dónde puede llegar esta amenaza tan popular entre los ciberdelincuentes desde principios del 2000? 

El phishing o suplantación de identidad busca robar las credenciales y contraseñas de los usuarios engañándoles para que realicen una determinada acción que va en contra de sus intereses (hacer clic en un enlace malicioso, facilitar una contraseña, abrir un archivo dañino, autorizar transacciones bancarias…). Hay que tener en cuenta que estas amenazas están presentes en múltiples plataformas y que, aunque los usuarios cada vez son más conscientes de estos peligros, los ciberdelincuentes van perfeccionando sus técnicas generando un repunte en ciertos sectores.

Esta amenaza radica en que los procedimientos de vulneración de los datos evolucionan dando lugar a nuevas formas de suplantación de identidad cada vez más personalizadas. Es el caso del spear-phishing, ataque que se centra en un grupo u organización determinada de la que dispone de datos que utilizan para personalizar el mensaje ganando credibilidad. También destacan los Business Email Compromise (BEC) o, lo que es lo mismo, ataques personalizados contra altos directivos que tienen como objetivo secuestrar y controlar cuentas empresariales reales con las que los ciberdelincuentes redirigen transacciones financieras. También cabría señalar, seguido de un largo etcétera, el programa Emotet que se difunde a través de falsos correos y que, al activarlo, roba datos, se reenvía a otros destinatarios y abre la puerta a otros virus. 

Ataques más selectivos de phishing

Según el Informe de ciberamenazas SonicWall 2019, el volumen total de phishing ha disminuido un 19% en lo que va de año, en comparación con 2018, aunque las amenazas suelen obedecer a picos estacionales como el de los meses de noviembre y diciembre del pasado año en el que se produjeron el 39% de los ataques anuales.

Aunque los datos suenan esperanzadores, al tiempo que el volumen global de ataques disminuye, aparecen nuevas estrategias de phishing más selectivas y personalizadas (como los ataques de Black Friday y Cyber Monday). Esto responde a una realidad en la que el 68% de los correos de phishing bloqueados de manera diaria por Gmail están compuestos por nuevas variantes nunca vistas.  

Algunas de las tácticas más frecuentes que aplican los cibercriminales a la hora de hacer phishing hoy en día:  

• URL maliciosas y sitios web falsos o falsificados 

Con el objetivo de influenciar al usuario para que lleve adelante una acción que va en contra de su conveniencia, los impostores personalizan el mensaje generando un alto grado de credibilidad. Entre sus técnicas habituales se encuentra el uso de URLs en el correo electrónico que, al ser pinchadas, descargan cargas maliciosas. Pero la suplantación de identidad aún va más allá con la creación de sitios web de phishing con páginas de inicio de sesión falsas a través de las que los impostores recopilan credenciales de inicio de sesión de aquellos usuarios que caen en la trampa. De hecho, a finales de 2017 se informó de que cada mes se creaban casi 1,5 millones de sitios web falsos destinados al phishing. En este contexto, diferenciar los sitios web auténticos de los falsificados se convierte en una tarea compleja ya que los responsables del phishing ocultan las URL con ayuda de redireccionamientos y abreviadores de URL, a lo que se suma que casi la mitad de estos sitios web falsos utilizan certificados HTTPS y SSL, lo que facilita aún más el engaño. 

Los atacantes utilizan cada vez más sitios y servicios de intercambio de documentos y colaboración populares para distribuir cargas útiles maliciosas y formularios de inicio de sesión falsos para robar las credenciales de los usuarios, según los datos ofrecidos por el Informe de inteligencia de seguridad de Microsoft. 

• Phishing dirigido a las aplicaciones Office 365 y los usuarios

La plataforma de correo electrónico en la nube más popular entre las organizaciones es Office 365, lo que la convierte automáticamente en la más suplantada. De hecho, el phishing dirigido a los servicios SaaS y de correo web ha elevado su presencia en el último trimestre de 2019 según el Anti-Phishing Working Group (APWG). 

• Credenciales comprometidas

Las organizaciones siempre son objetivo de los ciberdelincuentes, motivo por el que estos se apropian frecuentemente de cuentas para hacerse con las credenciales corporativas de los empleados, ya sea lanzando una campaña de phishing de credenciales contra una organización o comprando credenciales en la dark web obtenidas a través de fugas de datos de terceros. Una vez que se hacen con las credenciales, los atacantes pueden utilizarlas para conseguir accesos adicionales o privilegios. 

• Suplantación de identidad, suplantación de CEO y ataques Business Email Compromise (BEC)

Aquellas empresas que trabajan con compañías o proveedores extranjeros que pagan regularmente mediante transferencias electrónicas sufren un tipo de amenaza característica denominada Business Email Compromise (BEC), según el FBI. Los estafadores utilizan técnicas de ingeniería social o intrusión informática para realizar transferencias de fondos no autorizados. Por tanto, dado que estos ataques no contienen vínculos o archivos adjuntos maliciosos sino un mensaje dirigido a la víctima procedente de un remitente de confianza que solicita la transferencia de datos, son amenazas muy difíciles de detectar. 

• Archivos adjuntos PDF y .doc de Office maliciosos

En muchos casos los impostores utilizan los archivos adjuntos como mecanismo de distribución de cargas útiles maliciosas, como ransomware y malware. Este tipo de fraudes responde a la confianza que depositan generalmente los usuarios en los archivos PDF como formato “seguro”. Dmitriy Ayrapetov, director ejecutivo de Gestión de Productos de SonicWall, informa sobre este tipo de campañas de phishing en su artículo «New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics». 

•  Exploit Office Macros 

Microsoft Security Intelligence anunció a finales de junio de 2019 la identificación de un nuevo ataque que instala un troyano de acceso remoto a través de una cadena. Se trata de un phishing coreano que incluye un archivo adjunto .xls que descarga un Fichero de archivo MSI que contiene un ejecutable firmado digitalmente que se extrae y ejecuta antes de que el malware FlawedAmmyy RAT sea implementado. Los investigadores de amenazas de SonicWall Capture Labs han confirmado que este ataque descarga un archivo fraudulento llamado wsus.exe que se hace pasar por un Windows Service Update Service (WSUS). Microsoft confirmó que Microsoft Defender ATP bloquea el ataque, incluyendo el malware FlawedAmmyy RAT, y Microsoft Office 365 ATP detecta el peligro de la campaña de phishing. 

• Ataques wiper

El pasado junio los ciberdelincuentes también fueron protagonistas. El Departamento de Seguridad Nacional de los EE. UU, junto con el organismo de Ciberseguridad y Seguridad de la Infraestructura (CISA) y el Departamento de Seguridad (DHS) advirtieron de los ataques wiper procedentes de Irán que utilizan tácticas como el spear-phishing, el rociado de contraseñas y el relleno de credenciales. 

• Ransomware 

El ransomware es una estrategia que consiste en amenazar a la víctima con difundir supuestos datos o imágenes de su vida personal que le comprometen de alguna forma. Este problema se ve acentuado en la actualidad porque también va dirigido a organizaciones y empresas. Los atacantes solicitan una transferencia en bitcoins de altas sumas de dinero a las direcciones públicas de la empresa y, en caso de rechazo, les amenazan con sacar a la luz información comprometida para la empresa y difundirla en los medios de comunicación. 

La entrada Phishing: estado la ciberamenaza multiplataforma en 2019 aparece primero en Globb Security.