¿Qué es el “spear phishing” y cómo derriba a las grandes corporaciones?

pesca submarina

Las noticias están llenas de informes de «ataques de phishing» que se utilizan contra gobiernos, grandes corporaciones y activistas políticos. Los ataques de spear-phishing son ahora la forma más común en que las redes corporativas se ven comprometidas, según muchos informes.

El spear-phishing es una forma más nueva y peligrosa de phishing. En lugar de lanzar una amplia red con la esperanza de atrapar cualquier cosa, el phisher lanza un ataque cuidadoso y lo apunta a personas individuales o un departamento específico.

Explicación del phishing

El phishing es la práctica de hacerse pasar por alguien de confianza para intentar adquirir tu información. Por ejemplo, un phisher podría enviar correos electrónicos no deseados pretendiendo ser de Bank of America pidiéndole que haga clic en un enlace, visite un sitio web falso de Bank of America (un sitio de phishing) e ingrese sus datos bancarios.

Sin embargo, el phishing no se limita solo al correo electrónico. Un phisher podría registrar un nombre de chat como «Soporte de Skype» en Skype y contactarte a través de mensajes de Skype, diciendo que tu cuenta fue comprometida y que necesitan tu contraseña o número de tarjeta de crédito para verificar tu identidad. Esto también se ha hecho en juegos en línea, donde los estafadores se hacen pasar por administradores del juego y envían mensajes pidiendo su contraseña, que usarían para robar su cuenta. El phishing también puede ocurrir por teléfono. En el pasado, es posible que haya recibido llamadas telefónicas que afirman ser de Microsoft y le dicen que tiene un virus que debe pagar para eliminarlo.

Los phishers generalmente lanzan una red muy amplia. Se puede enviar un correo electrónico de phishing de Bank of America a millones de personas, incluso a personas que no tienen cuentas de Bank of America. Debido a esto, el phishing suele ser bastante fácil de detectar. Si no tiene una relación con Bank of America y recibe un correo electrónico que dice ser de ellos, debe quedar muy claro que el correo electrónico es una estafa. Los phishers dependen del hecho de que, si se ponen en contacto con suficientes personas, alguien eventualmente caerá en su estafa. Esta es la misma razón por la que todavía tenemos correos electrónicos no deseados: alguien debe estar cayendo por ellos o no sería rentable.

Eche un vistazo a la anatomía de un correo electrónico de phishing para obtener más información.

En qué se diferencia el spear phishing

Si el phishing tradicional es el acto de lanzar una amplia red con la esperanza de atrapar algo, el spear phishing es el acto de apuntar cuidadosamente a una persona u organización específica y adaptar el ataque a ellos personalmente.

Si bien la mayoría de los correos electrónicos de phishing no son muy específicos, un ataque de spear-phishing utiliza información personal para hacer que la estafa parezca real. Por ejemplo, en lugar de leer «Estimado señor, haga clic en este vínculo para obtener riqueza y riquezas fabulosas», el correo electrónico puede decir «Hola, Bob, lea este plan de negocios que redactamos en la reunión del martes y háganos saber lo que piensa». Puede parecer que el correo electrónico proviene de alguien que conoce (posiblemente con una dirección de correo electrónico falsificada , pero posiblemente con una dirección de correo electrónico real después de que la persona se vio comprometida en un ataque de phishing) en lugar de alguien que no conoce. La solicitud está elaborada con más cuidado y parece que podría ser legítima. El correo electrónico puede referirse a alguien que conoce, una compra que haya realizado u otra información personal.

Los ataques de spear-phishing contra objetivos de alto valor se pueden combinar con un exploit de día cero para obtener el máximo daño. Por ejemplo, un estafador podría enviar un correo electrónico a una persona de una empresa en particular diciendo: “Hola, Bob, ¿podrías echar un vistazo a este informe comercial? Jane dijo que nos darías algunos comentarios «. con una dirección de correo electrónico de apariencia legítima. El enlace podría ir a una página web con contenido Java o Flash incrustado que aproveche el día cero para comprometer la computadora. ( Java es particularmente peligroso , ya que la mayoría de las personas tienen instalados complementos de Java obsoletos y vulnerables). Una vez que la computadora se ve comprometida, el atacante podría acceder a su red corporativa o usar su dirección de correo electrónico para lanzar ataques dirigidos de spear-phishing contra otras personas en el organización.

Un estafador también podría adjuntar un archivo peligroso que está disfrazado para parecerse a un archivo inofensivo . Por ejemplo, un correo electrónico de spear-phishing puede tener un archivo PDF que en realidad es un archivo .exe adjunto.

imagen

Quién realmente necesita preocuparse

Los ataques de spear-phishing se están utilizando contra grandes corporaciones y gobiernos para acceder a sus redes internas. No conocemos todas las corporaciones o gobiernos que se hayan visto comprometidos por ataques exitosos de spear-phishing. Las organizaciones a menudo no revelan el tipo exacto de ataque que las comprometió. Ni siquiera les gusta admitir que han sido pirateados.

Una búsqueda rápida revela que organizaciones como la Casa Blanca, Facebook, Apple, el Departamento de Defensa de EE. UU., The New York Times, Wall Street Journal y Twitter probablemente se han visto comprometidas por ataques de spear-phishing. Esas son solo algunas de las organizaciones que sabemos que se han visto comprometidas; es probable que el alcance del problema sea mucho mayor.

Si un atacante realmente quiere comprometer un objetivo de alto valor, un ataque de spear-phishing, quizás combinado con un nuevo exploit de día cero comprado en el mercado negro, es a menudo una forma muy efectiva de hacerlo. Los ataques de spear-phishing a menudo se mencionan como la causa cuando se viola un objetivo de alto valor.

Protéjase del spear phishing

Como individuo, es menos probable que sea el objetivo de un ataque tan sofisticado que los gobiernos y las corporaciones masivas. Sin embargo, los atacantes aún pueden intentar usar tácticas de suplantación de identidad en su contra incorporando información personal en los correos electrónicos de suplantación de identidad. Es importante darse cuenta de que los ataques de phishing son cada vez más sofisticados.

Cuando se trata de phishing, debe estar atento. Mantenga su software actualizado para que esté mejor protegido contra cualquier riesgo si hace clic en los enlaces de los correos electrónicos. Tenga mucho cuidado al abrir archivos adjuntos a correos electrónicos. Tenga cuidado con las solicitudes inusuales de información personal, incluso aquellas que parecen legítimas. No reutilice contraseñas en diferentes sitios web, en caso de que su contraseña se salga.

Los ataques de phishing a menudo intentan hacer cosas que las empresas legítimas nunca harían. Su banco nunca le enviará un correo electrónico pidiéndole su contraseña, una empresa a la que haya comprado productos nunca le enviará un correo electrónico y le pedirá el número de su tarjeta de crédito, y nunca recibirá un mensaje instantáneo de una organización legítima que le pida su contraseña u otra información sensible. No haga clic en enlaces en correos electrónicos y proporcione información personal confidencial, sin importar cuán convincentes sean los correos electrónicos de phishing y el sitio de phishing.


Como todas las formas de phishing, el spear-phishing es una forma de ataque de ingeniería social que es particularmente difícil de defender. Todo lo que se necesita es que una persona cometa un error y los atacantes habrán establecido un punto de apoyo en su red.

Crédito de la imagen: Florida Fish and Wildlife en Flickr