El spear phishing es una grave amenaza para las organizaciones de todo el mundo, pero este tipo de phishing altamente dirigido puede ser difícil de prevenir.
Un informe de la empresa de seguridad Ivanti pone de relieve la tasa de éxito del spear phishing: casi tres cuartas partes (73%) de las organizaciones declararon a Ivanti que el personal informático es objetivo del spear phishing, y casi la mitad de los intentos (47%) tienen éxito.
¿Qué es el Spear Phishing?
El spear phishing es una forma de phishing muy selectiva. Una campaña de phishing suele enviar un correo electrónico masivo a muchas personas, pero las campañas de spear phishing se centran en uno o unos pocos individuos; estos individuos suelen trabajar para una organización específica o están asociados a ella.
El spear phishing suele llegar por correo electrónico, pero también puede ser un phishing telefónico (Vishing) o por mensajes de móvil (SMShing).
El spear phishing utiliza tácticas avanzadas de ingeniería social para elaborar una campaña eficaz de spear phishing basada en la información recopilada sobre un objetivo. La información necesaria para perfeccionar un correo electrónico de spear phishing se recopila por cualquier medio, como publicaciones en redes sociales, sitios web de empresas, cuentas online pirateadas, etc.
Los ciberdelincuentes han llegado a entablar una relación con su objetivo a través del correo electrónico o el teléfono, ganándose la confianza del empleado y animándole a compartir sus datos personales o de la empresa. Una vez que el ciberdelincuente tiene suficiente información sobre el objetivo, crea un correo electrónico personalizado que parece legítimo.
El objetivo de un intento de spear phishing suele ser robar las credenciales de acceso. Estas credenciales pueden utilizarse para acceder a la red corporativa. El resultado de la ingeniería social de un empleado es una infección de malware, incluyendo ransomware, robo de datos, Business Email Compromise (BEC) y otras formas de ciberataque.
Aunque el uso de la autenticación multifactor (MFA) puede ayudar a reducir el riesgo de un ataque, no es una garantía: una reciente campaña de phishing dirigida a usuarios de Office 365 fue capaz de burlar cualquier MFA utilizado por los empleados.
Cómo utilizan los ciberdelincuentes los ataques de Spear Phishing
Los ciberdelincuentes utilizan el spear phishing para centrar un ataque en una empresa concreta. Estas campañas pueden dirigirse directamente (a un empleado) o indirectamente, es decir, centrarse en un proveedor de la cadena de suministro para atacar a una organización situada más arriba en la cadena de suministro.
A menudo, los ataques de spear phishing forman parte de un ciclo de ataques en el que se roban datos, incluidas las contraseñas, lo que lleva a la infección de malware, a un mayor robo de credenciales y al robo de datos. El proceso comienza con un correo electrónico, Vishing o SMShing. El spear phishing suele implicar una planificación estratégica de alto nivel, que puede requerir varios pasos coreografiados para lograr el objetivo del hacker.
Ejemplos de ataques de Spear Phishing
Spear Vishing: un ataque de spear phishing en Twitter en 2020 fue noticia cuando los hackers consiguieron enviar tuits desde varias cuentas de alto perfil, incluyendo a Joe Biden, Barack Obama, Bill Gates y Elon Musk. El ataque a Twitter se centró en una llamada telefónica de phishing (Vishing) a los empleados objetivo hasta que uno de ellos dio a los atacantes las credenciales de acceso a las herramientas internas. Estas credenciales se utilizaron entonces para escalar los privilegios a un nivel superior.
Correo electrónico de Spear Phishing: un correo electrónico de spear phishing se hizo pasar por el Departamento de Trabajo de Estados Unidos (DoL) para dirigirse a varias organizaciones. El objetivo del correo electrónico falso era robar las credenciales de inicio de sesión de Office 365. El correo electrónico se basaba en dominios hábilmente camuflados para que pareciera que procedía legítimamente del DoL.
Además, el correo electrónico se hacía pasar por un empleado de alto nivel del DoL que invitaba a la organización receptora a presentar una oferta para un proyecto gubernamental. Al hacer clic en el "botón de licitación", el empleado accedía a un sitio de phishing en el que se robaban las credenciales de acceso a Office 365.
Cómo detectar un correo electrónico de Spear Phishing
Estos correos electrónicos son notoriamente difíciles de detectar simplemente porque se ha invertido mucho trabajo en su creación. Sin embargo, hay algunos puntos a comprobar que pueden ayudar a los empleados a identificar las señales reveladoras.
- A menudo, los correos electrónicos de spear phishing aprovechan posiciones de autoridad, por ejemplo, el soporte de TI, para forzar una acción por parte de un empleado, por ejemplo, introducir una contraseña en una página web falsa. Compruebe la dirección de correo electrónico del remitente. Puede parecerse a la real, pero con algunas sutiles diferencias.
- ¿Coincide el formato del correo electrónico con lo que está acostumbrado? Por ejemplo, si el correo electrónico es supuestamente del servicio de asistencia técnica, ¿la forma en que está escrito y formateado refleja los correos electrónicos anteriores del servicio de asistencia técnica?
- ¿El correo electrónico requiere la introducción de demasiados datos o información que parece innecesaria? Por ejemplo, ¿se le pide que inicie sesión en una aplicación en la nube de la empresa después de hacer clic en un enlace de un correo electrónico sin ninguna razón convincente?
Otra cosa de baja tecnología que puedes hacer para ayudar a prevenir un incidente de spear phishing es volver a verificar con el supuesto remitente del correo electrónico: llámalo para comprobar que el correo electrónico realmente proviene de él.
Protegerse de un ataque de Spear Phishing
Las capas de protección son la mejor manera de hacer frente a la amenaza del spear phishing. Estas son las seis principales formas de protegerse a sí mismo y a su empresa de un ataque:
No compartas en exceso en las redes sociales
Los ciberdelincuentes obtienen la información necesaria para crear correos electrónicos creíbles de muchas fuentes, incluidas las redes sociales. Así que pon una política que explique los peligros de compartir datos en exceso en las redes sociales.
No haga clic en los enlaces sospechosos de los correos electrónicos de phishing
Esto debería convertirse en el mantra de todos los lugares de trabajo. Incluso si un empleado no introduce sus credenciales después de hacer clic en un enlace malicioso, el hacker probablemente tendrá una auditoría de quién ha hecho clic y continuará enviando correos electrónicos de phishing cada vez más sofisticados a esa organización.
Utilice una autenticación robusta
Aunque no es a prueba de fallos, contar con una autenticación sólida ayuda a adoptar un enfoque estratificado contra el phishing. Cree contraseñas fuertes y únicas y añada MFA cuando sea compatible.
No comparta nunca información sensible en línea
No hace falta decir que no se debe compartir información personal o corporativa sensible de forma pública y en línea, ya que se recopilará y se utilizará para suplantar a los empleados o a los proveedores de la cadena de suministro asociados.
Sea precavido y vigilante
Forme a todos los miembros del personal y asociados sobre las tácticas utilizadas por los ciberdelincuentes. Asegúrese de que esta formación se realiza con regularidad y utilice una plataforma de phishing simulado para enviar mensajes de phishing simulados a los empleados con mayor riesgo.
Anime a los empleados a notificar los incidentes
Una vez que haya formado al personal para detectar los signos reveladores del phishing, anime a los empleados a informar de los incidentes. Esto ayuda a crear una ciberresistencia, a mantener el cumplimiento de la normativa y ofrece la información necesaria para actuar rápidamente antes de que un incidente se convierta en un ciberataque en toda regla.