Cassie Chadwick fue una estafadora a principios del siglo XX. Chadwick cometió una de las primeras versiones de la usurpación de identidad para llevar a cabo un fraude electrónico, convenciendo a los bancos de que era la hija ilegítima de Andrew Carnegie para que le concedieran préstamos. En 1905, Cassie fue condenada a diez años de prisión por estafar a un banco.

Las estafas exitosas, como la de Chadwick, se convierten en material de leyenda. A lo largo de los siglos, los estafadores han utilizado la ingeniería social y otros timos similares para amasar grandes sumas de dinero engañando a sus objetivos.

Hoy en día, los estafadores utilizan medios de comunicación modernos como el correo electrónico para llevar a cabo sus estafas. Sin embargo, siguen necesitando utilizar los elementos de una historia convincente para asegurarse de que un correo electrónico dephishing engaña con éxito a su destinatario.

He aquí los elementos de un ataquede phishing convincente.

¿Por qué centrarse en los ataques de phishing?

Los ataques de suplantación de identidad han existido desde los primeros días del correo electrónico. Esto tiene sentido, ya que el correo electrónico puede utilizarse como punto de conexión entre un pirata informático y la red corporativa; es decir, una puerta de comunicación que puede abrir esa red ayudando a robar contraseñas, nombres de usuario y direcciones de correo electrónico o a distribuir programas maliciosos.

El phishing sigue siendo el «vector de ataque más común» según la última investigación del gobierno británico presentada en el informe «Cyber Security Breaches Survey 2021«. La razón de que se siga utilizando el phishing es que sigue teniendo mucho éxito, ya que hasta el 32% de los empleados hacen clic en un enlace de correo electrónicode phishing y hasta el 8% ni siquiera sabe lo que es un correo electrónico dephishing.

Un solo empleado que haga clic en un enlace de correo electrónicode phishing y luego introduzca las credenciales de inicio de sesión pone a toda la empresa en peligro de sufrir una violación de datos o una infección por malware. Incluso los empleados con menores privilegios de acceso pueden dar lugar a una escalada de privilegios y a una violación de datos.

El phishing es uno de los principales puntos de ataque y, como tal, los ciberdelincuentes se esfuerzan en que este vector de ataque resulte convincente para garantizar el éxito.

Elementos de éxito para los empleados de phishing

Para engañar con éxito a un empleado, el estafador tiene que asegurarse de que toda la campaña de phishing sea convincente, desde el aspecto del correo electrónico hasta cualquier sitio falso al que los enlaces de phishing lleven al empleado. Los elementos de una campaña de phishing convincente son cada vez más sofisticados e implican:

Suplantación de marca

La suplantación de marcas se ha utilizado desde la aparición del phishing por correo electrónico. Ciertas marcas son populares entre las empresas y se utilizan sistemáticamente para engañar a los destinatarios y hacerles creer que el correo electrónico es legítimo y entregar su información personal.

Check Point lleva a cabo investigaciones periódicas sobre las marcas más populares que se utilizan como base para las campañas de phishing. Una de las marcas más suplantadas en 2021 fue Microsoft, marca utilizada en cerca del 45% de las campañas de phishing en el segundo trimestre de 2021.

URLs maliciosas, largas y redirigidas

Pasar el ratón por encima de un enlace en un correo electrónico no siempre es una forma segura de detectar un enlace malicioso. Recientemente, los estafadores han empezado a utilizar » URLfalsas» para enmascarar la naturaleza maliciosa de un enlace de phishing.

Esto suele implicar ocultar la verdadera dirección de un enlace utilizando caracteres especiales. Un codificador de URL se utiliza para cambiar una URL añadiendo signos de porcentaje, es decir, comenzando una cadena de URL con un carácter % para ocultar la verdadera naturaleza de una dirección web. Estas URL son aceptadas por Google, por lo que es difícil impedirlas utilizando filtros de contenido estático.

Las URL muy largas también se utilizan para enmascarar una dirección web maliciosa. Los enlaces de correo electrónico en los dispositivos móviles son notoriamente difíciles de ver, y las URL muy largas están dificultando aún más la detección de enlaces sospechosos.

El uso de múltiples enlaces y redireccionamientos también se utiliza ahora para confundir a los usuarios. Una reciente campaña de phishing con múltiples redireccionamientos llevaba a los usuarios a través de una serie de redireccionamientos, terminando en una página reCaptcha de Google que finalmente redirigía a una página falsa de Office 365 donde se robaban las credenciales de inicio de sesión.

Falsas señales de seguridad

La gente ya no puede confiar en el uso de señales de seguridad para indicar que un sitio web es de confianza. Por ejemplo, el símbolo del candado que se ve en algunos sitios web y que está asociado a la S al final de HTTP, es decir, HTTPS. Esto indica que un sitio web utiliza un certificado digital (certificado SSL) como señal de que es un sitio seguro. Sin embargo, el Grupo de Trabajo Anti-Phishing (APWG) identificó que el 82% de los sitios de phishing utilizaban un certificado SSL en el segundo trimestre de 2021.

Trucos de ingeniería social

Todas las tácticas anteriores están respaldadas por varios trucos de ingeniería social bien probados que atrapan a los empleados, haciéndoles pasar al siguiente nivel del juego de la campaña de los phishers. Es el aspecto de ingeniería social del phishing el que permite a los ciberdelincuentes que están detrás de la campaña poner en marcha el proceso que acaba en ransomware, violación de datos y otros tipos de ciberataques.

La ingeniería social es un término encubierto que utiliza una variedad de técnicas para manipular el comportamiento de los empleados; los métodos típicos incluyen:

  • Urgencia: un correo electrónico o mensaje de texto de phishing puede utilizar una solicitud urgente para realizar una tarea. El Business Email Compromise (BEC) que aplica componentes de phishing en el ataque suele utilizar este truco. Un ejemplo es un correo electrónico falso que puede parecer que procede de un ejecutivo de alto nivel con una petición urgente para transferir dinero a un nuevo cliente o arriesgarse a perderlo.

  • Otros desencadenantes emocionales: los estafadores juegan con las emociones de las personas para hacerles realizar tareas como hacer clic en un enlace malicioso de un correo electrónico o facilitar información sensible. La curiosidad, la preocupación por la seguridad, el deseo de agradar y las ganas de hacer bien un trabajo se utilizan como cebo para el phishing.

  • Spear phishing y reconocimiento: para perfeccionar sus ataquesde phishing, los estafadores pueden utilizar el spear phishing. Esta forma de phishing dirigido está detrás de muchos ataques, pero requiere un mayor esfuerzo por parte de los estafadores, ya que crean correos electrónicos que reflejan fielmente el papel de la persona objetivo. Para que los correos electrónicos de spear phishing tengan éxito, los estafadores suelen llevar a cabo un reconocimiento del objetivo antes de crear la campaña de phishing.

Los ciberdelincuentes son maestros en la creación de campañas de phishing exitosas y las estadísticas lo demuestran. Un informe del APWG afirma que «tras duplicarse en 2020, la cantidad de phishing se ha mantenido en un nivel constante pero elevado». Los elementos de un ataque dephishing convincente están probados, comprobados y cuentan con la confianza de los estafadores. Al comprender estos elementos, una organización puede mitigarlos con mayor eficacia.

Cómo defender su organización contra un ataquede phishing

Cada vez más, los elementos de un ataque de phishing con éxito se basan en la aplicación de técnicas para eludir las tecnologías antiphishing tradicionales, como los filtros de contenidos. Esto no quiere decir que los filtros de contenidos no desempeñen un papel en la protección de una empresa contra las campañas de phishing sofisticadas.

Sin embargo, no se puede confiar en ellos. Las campañas de phishing siguen utilizando al humano en la máquina como su vía de entrada en una red corporativa. Debemos esperar que esta situación continúe y que los desarrolladores de campañas de phishing encuentren siempre formas de burlar la tecnología.

Un enfoque estratificado del control del phishing consiste en dotar a su plantilla de las herramientas necesarias para evitar que el phishing tenga éxito. Utilizando una combinación de formación sobre concienciación en materia de seguridad junto con el uso de ejercicios continuos de simulación de phishing, se prepara a la plantilla para detectar un correo electrónico dephishing antes de que se convierta en un punto de entrada.

Riesgo de ransomware