¿Qué es el Spear Phishing y cómo derrota a las grandes corporaciones?
La noticia está llena de informes de "ataques de phishing" que se están usando contra gobiernos, grandes corporaciones y activistas políticos. Según muchos informes, los ataques de phishing son ahora la forma más común en que se ven comprometidas las redes corporativas..
Spear-phishing es una forma más nueva y más peligrosa de phishing. En lugar de lanzar una red ancha con la esperanza de atrapar algo, el spear phisher realiza un ataque cuidadoso y lo dirige a personas individuales o a un departamento específico.
Phishing explicado
El phishing es la práctica de hacerse pasar por alguien confiable para tratar de obtener su información. Por ejemplo, un phisher podría enviar correos electrónicos de spam que simulan ser del Bank of America y pedirle que haga clic en un enlace, visite un sitio web falso de Bank of America (un sitio de phishing) e ingrese sus datos bancarios..
Sin embargo, el phishing no solo se limita al correo electrónico. Un phisher podría registrar un nombre de chat como "Soporte de Skype" en Skype y contactarlo a través de mensajes de Skype, diciendo que su cuenta estaba comprometida y que necesitan su contraseña o número de tarjeta de crédito para verificar su identidad. Esto también se ha hecho en juegos en línea, donde los estafadores se hacen pasar por administradores de juegos y envían mensajes pidiendo su contraseña, que usarían para robar su cuenta. El phishing también podría ocurrir por teléfono. En el pasado, es posible que haya recibido llamadas telefónicas que dicen ser de Microsoft y dice que tiene un virus que debe pagar para eliminarlas..
Los phishers generalmente lanzan una red muy ancha. Se puede enviar un correo electrónico de phishing de Bank of America a millones de personas, incluso personas que no tienen cuentas de Bank of America. Debido a esto, el phishing suele ser bastante fácil de detectar. Si no tiene una relación con Bank of America y recibe un correo electrónico que dice ser de ellos, debe quedar muy claro que el correo electrónico es una estafa. Los phishers dependen del hecho de que, si se contactan con suficientes personas, eventualmente alguien caerá en su trampa. Esta es la misma razón por la que todavía tenemos correos electrónicos no deseados: alguien debe estar cayendo por ellos o no sería rentable..
Echa un vistazo a la anatomía de un correo electrónico de phishing para obtener más información..
Cómo Spear Phishing es diferente
Si el phishing tradicional es el acto de lanzar una red amplia con la esperanza de atrapar algo, el phishing es el acto de apuntar cuidadosamente a un individuo u organización específica y adaptar el ataque a ellos personalmente.
Si bien la mayoría de los correos electrónicos de suplantación de identidad (phishing) no son muy específicos, un ataque de spear-phishing utiliza información personal para hacer que la estafa parezca real. Por ejemplo, en lugar de leer "Estimado señor, haga clic en este enlace para obtener riquezas y riquezas fabulosas", el correo electrónico puede decir "Hola Bob, lea este plan de negocios que redactamos en la reunión del martes y háganos saber lo que piensa". Puede parecer que proviene de alguien que conoce (posiblemente con una dirección de correo electrónico falsificada, pero posiblemente con una dirección de correo electrónico real después de que la persona se vio comprometida en un ataque de phishing) en lugar de alguien que no conoce. La solicitud está más cuidadosamente diseñada y parece que podría ser legítima. El correo electrónico podría referirse a alguien que usted conozca, una compra que haya realizado u otra información personal..
Los ataques de phishing en objetivos de alto valor pueden combinarse con un exploit de día cero para el daño máximo. Por ejemplo, un estafador podría enviar un correo electrónico a una persona de un negocio en particular diciendo: "Hola Bob, ¿podrías echar un vistazo a este informe de negocios? Jane dijo que nos darías algunos comentarios "con una dirección de correo electrónico de aspecto legítimo. El enlace podría ir a una página web con contenido incrustado de Java o Flash que aproveche el día cero para comprometer la computadora. (Java es particularmente peligroso, ya que la mayoría de las personas tienen plug-ins Java obsoletos y vulnerables instalados). Una vez que la computadora está en peligro, el atacante podría acceder a su red corporativa o usar su dirección de correo electrónico para lanzar ataques dirigidos de phishing contra otros individuos en el organización.
Un estafador también puede adjuntar un archivo peligroso que está disfrazado para que parezca un archivo inofensivo. Por ejemplo, un correo electrónico de spear phishing puede tener un archivo PDF que en realidad es un archivo adjunto .exe.
Quien realmente necesita preocuparse
Los ataques de phishing están siendo utilizados contra grandes corporaciones y gobiernos para acceder a sus redes internas. No sabemos acerca de todas las corporaciones o gobiernos que se hayan visto comprometidos por los ataques exitosos de phishing. Las organizaciones a menudo no revelan el tipo exacto de ataque que las comprometió. Ni siquiera les gusta admitir que han sido hackeados en absoluto.
Una búsqueda rápida revela que organizaciones como la Casa Blanca, Facebook, Apple, el Departamento de Defensa de los EE. UU., The New York Times, el Wall Street Journal y Twitter probablemente se hayan visto comprometidos por ataques de phishing. Esas son solo algunas de las organizaciones que sabemos que se han visto comprometidas. El alcance del problema probablemente sea mucho mayor..
Si un atacante realmente quiere comprometer un objetivo de alto valor, un ataque de phishing con lanza - quizás combinado con un nuevo exploit de día cero comprado en el mercado negro - a menudo es una forma muy efectiva de hacerlo. Los ataques de phishing son a menudo mencionados como la causa cuando se viola un objetivo de alto valor.
Protegerse de Spear Phishing
Como individuo, es menos probable que sea el blanco de un ataque tan sofisticado como los gobiernos y las corporaciones masivas. Sin embargo, los atacantes aún pueden intentar usar tácticas de phishing con spear en su contra incorporando información personal en los correos electrónicos de phishing. Es importante darse cuenta de que los ataques de phishing son cada vez más sofisticados..
Cuando se trata de phishing, debes estar atento. Mantenga su software actualizado para que esté mejor protegido contra riesgos si hace clic en los enlaces de los correos electrónicos. Tenga mucho cuidado al abrir archivos adjuntos a correos electrónicos. Tenga cuidado con las solicitudes inusuales de información personal, incluso las que parecen ser legítimas. No reutilice las contraseñas en diferentes sitios web, en caso de que su contraseña salga.
Los ataques de phishing a menudo intentan hacer cosas que las empresas legítimas nunca harían. Su banco nunca le enviará un correo electrónico y le pedirá su contraseña, una empresa de la que compró productos nunca le enviará un correo electrónico y le pedirá su número de tarjeta de crédito, y nunca recibirá un mensaje instantáneo de una organización legítima que le solicite su contraseña u otra información sensible. No haga clic en los enlaces de los correos electrónicos y proporcione información personal confidencial, sin importar cuán convincente sea el correo electrónico de phishing y el sitio de phishing..
Como todas las formas de phishing, el phishing es una forma de ataque de ingeniería social que es particularmente difícil de defender. Todo lo que necesita es que una persona cometa un error y los atacantes habrán establecido un punto de apoyo en su red.
Crédito de la imagen: Florida Fish and Wildlife en Flickr
