Inmunización contra la plaga del spear phishing
Inmunización contra la plaga del spear phishing
Por John Wilson, director de tecnología de campo, Agari
El correo electrónico se ha convertido en la principal herramienta de comunicación para las organizaciones, tanto dentro del negocio como externamente con clientes y terceros. Pero con esta proliferación, el correo electrónico también ha sido explotado incansablemente por ciberdelincuentes sofisticados. Sin autenticación de seguridad incorporada, existe una falla fundamental en la arquitectura del correo electrónico que significa que cualquier persona puede enviar un mensaje pretendiendo ser de otra persona o marca. Lo que es más preocupante, los correos electrónicos ilegítimos están cuidadosamente formulados, bien escritos, parecen provenir de una fuente confiable y se relacionan con problemas reales, lo que hace que sea muy difícil distinguir los correos electrónicos de phishing sofisticados de sus contrapartes genuinas.
Una forma cada vez más popular de ataque por correo electrónico, el spear phishing, se está convirtiendo en una amenaza creciente para las empresas a nivel mundial. El spear phishing es un ataque de correo electrónico altamente dirigido y actualmente está prosperando debido a que las personas se sienten cómodas al revelar una gran cantidad de datos personales y de comportamiento en Internet. Los atacantes aprovechan la información personal de un individuo para perfilar a las víctimas y crear mensajes de correo electrónico diseñados para que parezcan provenir de una fuente confiable en un contexto que tranquiliza a la víctima objetivo. El objetivo final suele ser conseguir que el empleado seleccionado comparta información comercial confidencial o transfiera dinero a una cuenta desconocida. El año pasado, el FBI informó que las pérdidas de un tipo de spear phishing, las estafas de Business Email Compromise (BEC), totalizaron más de $ 1.2 mil millones. Entonces, ¿cómo podemos empezar a reconocer estas estafas?
La huella dactilar de un spear phisher
Las estafas BEC involucran a atacantes que se hacen pasar por un ejecutivo de la organización y envían correos electrónicos a un empleado con instrucciones o solicitudes específicas. El ejemplo más común es el llamado fraude electrónico del CEO. La estafa comienza con un correo electrónico «del» director ejecutivo al director financiero, en el que se explica que necesita una transferencia bancaria urgente y que proporcionará los detalles en breve. En estos ataques, la dirección De: del correo electrónico se ha falsificado y se ha agregado un encabezado Responder a: al mensaje para que las respuestas vuelvan al estafador. El delincuente establece la parte de visualización de la dirección Responder a como el nombre del director general y, dado que la mayoría de los programas de correo electrónico solo muestran este texto, en lugar de la dirección de correo electrónico real, la víctima no puede detectar el engaño visualmente.
El correo electrónico generalmente termina con una pregunta simple, como «¿Cuándo es el límite para completar esto hoy?» o «¿Qué información necesitará para procesar mi solicitud?». El propósito de la pregunta es obtener una respuesta del director financiero. El estafador proporciona los detalles de la cuenta bancaria receptora de la transferencia solo después de recibir una respuesta a su correo electrónico inicial. Esto reduce las posibilidades de que los datos de su cuenta bancaria estén expuestos a la policía si la víctima se da cuenta de la estafa.
Los autores de estas estafas utilizan un oficio distintivo. Esta huella dactilar puede vincular los ataques al mismo actor de amenazas. Después de examinar los datos de correo electrónico de solo tres clientes, Agari observó la misma huella digital en los ataques dirigidos a todos ellos. Este actor de amenazas en particular utiliza direcciones de correo web gratuitas como direcciones de respuesta. Las líneas de asunto son siempre cortas, como «Hola Juan», «Hoy» o «Urgente». Finalmente, este delincuente envía varios mensajes, espaciados en el transcurso de 2 o 3 semanas. Dada la naturaleza prolífica del trabajo de este actor de amenazas, sospechamos que usa la automatización para crear y enviar al menos los mensajes de ataque iniciales.
Con el FBI informando un aumento del 270% en las pérdidas globales reportadas de enero a agosto de 2015 debido a este tipo de estafas, las firmas financieras deben estar atentas a la seguridad de su correo electrónico.
Mantenerse inteligente
La investigación de Agari también encontró que más del 85 por ciento de los ataques de spear phishing están habilitados por servicios legítimos en la nube, y la mayoría no contienen un enlace o archivo adjunto malicioso, lo que los hace mucho más difíciles de detectar como fraudulentos. En última instancia, ningún correo electrónico debería ser suficiente para mover dinero y ninguna persona debería poder iniciar y aprobar una transferencia bancaria. Las organizaciones inteligentes deben asegurarse de que haya una combinación de canales entrantes y salientes que se puedan utilizar para verificar cualquier solicitud de información financiera o confidencial.
A medida que la amenaza del spear phishing continúa creciendo, las organizaciones necesitan una solución que considere la ciencia de datos sofisticada y la inteligencia de seguridad del correo electrónico para restablecer la confianza en el ecosistema del correo electrónico. La protección de los datos corporativos y de los clientes requiere una atención constante, y tener una idea de la totalidad de un ecosistema de correo electrónico es fundamental. No existe una única solución disponible que pueda resolver la amplitud del problema de seguridad del correo electrónico. Lo que se necesita son múltiples controles: un cóctel de soluciones complementarias que proporciona un enfoque de múltiples capas para la seguridad cibernética donde la prevención, la detección temprana, la contención de ataques y las medidas de recuperación se consideran colectivamente. Solo entonces se puede detener el spear phishing antes de que el problema se convierta en una plaga.