Los elementos de un ataque de phishing convincente

Cassie Chadwick fue un estafador a principios del siglo XX. Chadwick cometió una de las primeras versiones de la suplantación de identidad para llevar a cabo un fraude electrónicoEn 1905, Cassie fue condenada a diez años de prisión por estafar a un banco. En 1905, Cassie fue condenada a diez años de prisión por estafar a un banco. Éxito estafascomo la de Chadwick, se convierten en materia de leyenda. A lo largo de los siglos, los estafadores han utilizado ingeniería social y similares estafas para amasar grandes sumas de dinero engañando a sus objetivos. Hoy en día, los estafadores utilizan las comunicaciones modernas, como el correo electrónico, para llevar a cabo estafas. Sin embargo, todavía tienen que utilizar los elementos de una historia convincente para asegurarse de que un correo electrónico dephishing engaña con éxito a su destinatario. Estos son los elementos de un sistema convincente ataque dephishing.

¿Por qué centrarse en los ataques de phishing?

Phishing Los ataques han existido desde el los primeros días del correo electrónico. Esto tiene sentido ya que el correo electrónico puede ser utilizado como punto de conexión entre un hacker y la red corporativa; es decir, una puerta de comunicación que puede abrir esa red ayudando a robar contraseñas, nombres de usuario, y direcciones de correo electrónico o entregar malware. Phishing sigue siendo el "vector de ataque más común" según la última investigación del gobierno británico presentada en el informe "Encuesta sobre violaciones delaciberseguridad 2021". La razón para el uso continuado de phishing es porque sigue teniendo mucho éxito con hasta El 32% de los empleados hace clic en un enlace de correo electrónicode phishing y hasta un 8% ni siquiera sabe lo que es un correo electrónico dephishing es. Un solo empleado que haga clic en un correo electrónico dephishing enlace y a continuación introduciendo el nombre de usuario credenciales pone a toda la empresa en riesgo de sufrir una violación de datos o una infección de malware. Incluso los empleados con menores privilegios de acceso pueden llevar a escalada de privilegios y las violaciones de datos. Phishing es un punto de ataque principal, y como tal, ciberdelincuentes se esfuerzan por hacer que este vector de ataque sea convincente para asegurar el éxito.

Elementos de éxito para los empleados de Phishing

Para lograr el phishing de un empleado, el estafador necesita asegurarse de que todo el phishing La campaña es convincente, desde el aspecto del correo electrónico hasta la página web falsa que el phishing enlaces llevan al empleado a. Los elementos de un sistema convincente phishing campaña son cada vez más sofisticados e implican:

Suplantación de marcas

La suplantación de marcas se ha utilizado desde la aparición de phishing decorreo electrónico. Ciertas marcas son populares entre las empresas, y se utilizan sistemáticamente para engañar destinatarios para que crean que el correo electrónico es legítimo y entreguen su información personal. Punto de control lleva a cabo una investigación periódica de las marcas más populares que se utilizan como base para phishing campañas. Una de las marcas más falsificadas en 2021 fue Microsoft, marca que se utilizó en alrededor del 45% de phishing campañas en el segundo trimestre de 2021.

URLsfalsas, largas y redirigidas

Pasar el ratón por encima de un enlace en un correo electrónico no siempre es una forma segura de detectar un enlace malicioso. Recientemente, los estafadores han empezado a utilizar "rogue URLs' para enmascarar la naturaleza maliciosa de un phishing enlace. Esto suele implicar la ocultación de la verdadera dirección de un enlace mediante caracteres especiales. A URL El codificador se utiliza para cambiar un URL añadiendo signos de porcentaje, es decir, iniciando un URL con un carácter % para ocultar la verdadera naturaleza de una dirección web. Estos URLs son aceptadas por Google, por lo que es difícil evitarlas utilizando filtros de contenido estático. Muy largo URLs también se utilizan para enmascarar una dirección web maliciosa. Los enlaces de correo electrónico en los dispositivos móviles son notoriamente difíciles de ver, y muy largos URLs dificultan aún más la detección de enlaces sospechosos. El uso de múltiples enlaces y redireccionamientos también se utiliza ahora para confundir a los usuarios. A reciente campaña de phishing con múltiples redirecciones llevó a los usuarios a través de una serie de redirecciones, terminando en una página de Google reCaptcha que finalmente redirigió a una página falsa de Office 365 donde el inicio de sesión credenciales fueron robados.

Falsas señales de seguridad

La gente ya no puede confiar en el uso de señales de seguridad para indicar que un sitio web es de confianza. Por ejemplo, el símbolo del candado que se ve en algunos sitios web y que se asocia a la S al final de HTTP, es decir, HTTPS. Esto indica que un sitio web utiliza un certificado digital (certificado SSL) como señal de que es un sitio seguro. Sin embargo, el Grupo de trabajo contra el phishing (APWG) identificó que el 82% de phishing sitios utilizaron un certificado SSL en el segundo trimestre de 2021.

Trucos deingeniería social

Todas las tácticas anteriores están respaldadas por varias ingeniería social trucos que atrapan a los empleados, haciéndolos pasar al siguiente nivel del juego de la campaña de los phishers. Es el ingeniería social aspecto de phishing que permite ciberdelincuentes detrás de la campaña para poner en marcha el proceso que termina en ransomwarede datos, y otros tipos de ciber ataques. Ingeniería social es un término encubierto que utiliza una variedad de técnicas para manipular el comportamiento de los empleados; los métodos típicos incluyen:

• Urgencia: un correo electrónico o mensaje de texto de phishing puede utilizar una solicitud urgente para realizar una tarea. El Business Email Compromise (BEC) que aplica componentes de phishing en el ataque suele utilizar este truco. Un ejemplo es un correo electrónico falso que puede parecer que proviene de un ejecutivo de alto nivel con una solicitud urgente para transferir dinero a un nuevo cliente o arriesgarse a perderlo.

• Otros desencadenantes emocionales: los estafadores juegan con las emociones de las personas para que realicen tareas como hacer clic en un enlace malicioso de un correo electrónico o proporcionar información sensible. La curiosidad, la preocupación por la seguridad, el deseo de agradar y las ganas de hacer un trabajo bien hecho se utilizan como cebo para el phishing.

• Spear phishing y reconocimiento: para perfeccionar sus ataquesde phishing, los estafadores pueden utilizar el spear phishing. Esta forma de phishing dirigido está detrás de muchos ataques, pero requiere un mayor esfuerzo por parte de los estafadores, ya que crean correos electrónicos que reflejan fielmente el papel de la persona a la que se dirigen. Para que los correos electrónicos de spear phishing tengan éxito, los estafadores suelen realizar un reconocimiento del objetivo antes de crear la campaña de phishing.

Ciberdelincuentes son maestros en la creación de phishing campañas y las estadísticas lo demuestran. A informe del APWG dijo que "después de duplicarse en 2020, la cantidad de phishing se ha mantenido en un nivel constante pero elevado". Los elementos de un convincente ataque dephishing están probados, comprobados y son de confianza para los defraudadores. Al comprender estos elementos, una organización puede mitigarlos con mayor eficacia.

Cómo defender a su organización de un ataquede phishing

Cada vez más, los elementos de un éxito phishing ataque se basan en la aplicación de técnicas para eludir los tradicionales antiphishing tecnologías como los filtros de contenido. Esto no quiere decir que los filtros de contenido no desempeñen un papel en la protección de una empresa contra los sofisticados phishing campañas. Sin embargo, no se puede confiar en ellos. Phishing Las campañas siguen utilizando al humano en la máquina como vía de entrada a la red corporativa. Debemos esperar que esta situación continúe, y para phishing los desarrolladores de campañas para encontrar siempre formas de eludir la tecnología. Un enfoque por capas para phishing control es dotar a su personal de las herramientas necesarias para evitar el éxito phishing. Utilizando una mezcla de formación de concienciación sobre la seguridad junto con el uso de ejercicios continuos de simulación de phishingUna fuerza de trabajo está preparada para detectar un correo electrónico dephishing antes de que se convierta en un punto de entrada.