Tabla de contenido:
Video: 5 Ataques de Phishing más comunes (Noviembre 2024)
Cuando el asistente del Jefe del Comité Nacional Demócrata (DNC), John Podesta, le envió un correo electrónico que decía que la cuenta de Gmail de Podesta fue pirateada, Podesta hizo lo que la mayoría de nosotros habría hecho: hizo clic en el enlace dentro del correo electrónico y fue dirigido a un sitio web donde se le solicitó para ingresar una nueva contraseña. Lo hizo y luego se ocupó de sus asuntos diarios. Desafortunadamente para Podesta, el Partido Demócrata y la campaña presidencial de Hillary Clinton, el correo electrónico enviado a Podesta no era de Google. Más bien, fue un ataque de phishing de un grupo de piratería ruso llamado "Fancy Bear".
Incluso si nunca has oído hablar del término "spear-phishing", sin duda has oído hablar de este tipo de ataques. Probablemente has sido blanco de ellos. Estos ataques generalmente toman la forma de correos electrónicos de soporte al cliente que le solicitan que cambie las credenciales o pueden enviarse a través de direcciones de correo electrónico falsas a empresas que solicitan datos altamente personales de clientes o empleados. Por ejemplo, en 2015, los empleados de Ubiquiti Networks transfirieron $ 46.7 millones a cuentas en el extranjero a instancias de correos electrónicos que los empleados asumieron que fueron enviados por ejecutivos de Ubiquiti. En realidad, los hackers crearon cuentas de correo electrónico falsas que se parecían a las cuentas ejecutivas reales de Ubiquiti y engañaron a los empleados.
Según los datos de un estudio reciente realizado por la empresa de seguridad de correo electrónico IronScales, el 77 por ciento de los ataques están enfocados al láser, apuntando a 10 cuentas o menos, con un tercio de los ataques dirigidos a una sola cuenta. Los ataques son cortos, con un 47 por ciento que dura menos de 24 horas y un 65 por ciento que dura menos de 30 días. Los filtros de spam tradicionales y las herramientas de protección de puntos finales no están captando los ataques. Por cada cinco ataques identificados por filtros de spam, 20 ataques llegaron a la bandeja de entrada de un usuario.
(Imagen vía: IronScales)
"Vemos que los atacantes pasan mucho más tiempo estudiando sus objetivos que en años anteriores, ejecutando un proceso de reconocimiento muy completo", dijo Eyal Benishti, CEO de IronScales. "Como resultado, los correos electrónicos de phishing se han vuelto altamente específicos y adaptados a la empresa objetivo, ya que los atacantes pueden recopilar información a través del reconocimiento que los ayuda a crear correos electrónicos para que parezcan comunicaciones internas legítimas. Por ejemplo, hemos visto algunos ataques utilizando jerga y firmas de las organizaciones, y el contenido está muy en contexto con lo que se está ejecutando actualmente dentro de la empresa y entre las partes de confianza ".
Jeff Pollard, analista principal de Forrester Research, agregó que estos ataques también están creciendo en sofisticación. "Los ataques se están volviendo más sofisticados tanto en términos de los señuelos utilizados para hacer que las personas hagan clic como en términos del malware utilizado para obtener acceso a los sistemas", dijo Pollard. "Pero eso es lo que esperamos dado que la ciberseguridad es una batalla constante entre defensores y atacantes".
La solución
Para combatir estos ataques, las empresas están recurriendo al software anti-phishing para detectar y marcar los ataques entrantes. Las herramientas antispam y antimalware son una opción para cualquier empresa que desee proteger los datos comerciales. Pero compañías como IronScales van un paso más allá al incorporar las herramientas de aprendizaje automático (ML) para escanear de manera proactiva y marcar correos electrónicos de phishing incompletos. Además, debido a que ML permite que las herramientas compilen o recuerden datos de estafa, el software aprende y mejora con cada escaneo.
"La tecnología hace que sea más difícil para el atacante engañar al defensor con pequeños ajustes que normalmente omiten una solución basada en la firma", dijo Benishti. "Con ML, podemos agrupar rápidamente diferentes variantes del mismo ataque y luchar más eficazmente contra el phishing. De hecho, desde nuestro análisis, ML es la mejor manera de entrenar un sistema para diferenciar entre correos electrónicos legítimos que provienen de un socio confiable o colega versus uno no legítimo ".
La tecnología no es la única protección contra estas formas de ataques. La educación y la precaución son quizás las defensas más importantes contra los ataques de phishing. "Algunas empresas son conscientes de las amenazas, aunque otras creen erróneamente que su solución actual es proteger contra ataques dirigidos", dijo Benishti. "Es muy importante entender que usar los mismos mecanismos de defensa y esperar diferentes resultados en futuros ataques simplemente no funcionará. Usar solo la tecnología contra ataques avanzados, que ponen a las personas como objetivos, siempre fallará, ya que dependerá únicamente de la conciencia de los empleados y capacitación… Las personas y las máquinas que trabajan en estrecha colaboración para cerrar esta brecha de ataques desconocidos es la única forma de reducir el riesgo ".
(Imagen vía: IronScales)
Cómo mantenerse a salvo
Aquí hay algunas formas muy simples de garantizar que usted y su empresa no sean estafados:
- Asegúrese de que los correos electrónicos de la empresa estén etiquetados como "INTERNO" o "EXTERNO" en la línea de asunto.
- Verifique las solicitudes sospechosas o riesgosas por teléfono. Por ejemplo, si su CEO le envía un correo electrónico y le pide que envíe los datos de salud personales de alguien, entonces llámelo o envíe un mensaje de chat para verificar la solicitud.
- Si una compañía le pide que cambie su contraseña, no use el enlace en la notificación por correo electrónico; vaya directamente al sitio web de la compañía y cambie su contraseña desde allí.
- Nunca, bajo ninguna circunstancia, debe enviar su contraseña, número de seguro social o información de tarjeta de crédito a alguien en el cuerpo de un correo electrónico.
- No haga clic en enlaces en correos electrónicos que no contienen otro texto o información.
"A medida que mejoran las defensas, también lo hacen los ataques", dijo Pollard. "Creo que veremos campañas más específicas de spear phishing y caza de ballenas. También veremos un aumento en el phishing y estafa en las redes sociales, que es un área que no es tan madura desde el punto de vista de la seguridad como lo es la seguridad del correo electrónico".
Desafortunadamente, no importa cuán cuidadoso sea, los ataques se intensificarán y se volverán más inteligentes. Puede hacer todo lo que esté a su alcance para educarse a sí mismo y a sus empleados, puede construir una defensa contra el phishing respaldada por nuevas tecnologías y puede tomar todas las precauciones posibles. Pero, como señaló Pollard, "solo se necesita un mal día, un clic incorrecto o un usuario apresurado que intenta limpiar una bandeja de entrada para provocar una catástrofe".
