El phishing sigue evolucionando
Nuevas formas de explotar el comportamiento humano
Phishing, al igual que cualquier tipo de Ataque cibernético, explota el eslabón más débil. Sin embargo, a diferencia de muchos otros ataques, el phishing explota el comportamiento humano en lugar de las vulnerabilidades técnicas. Ya sea que estés reservando un viaje, respondiendo a una invitación de Zoom o simplemente revisando correos electrónicos — todos en línea son un objetivo.
Como se describe en el último Informe sobre amenazas de phishing, basado en datos de aproximadamente 13 mil millones de correos electrónicos, los atacantes centran sus esfuerzos en parecer auténticos: intentan suplantar las marcas que conocemos y en las que confiamos, y explotan la confianza en las interacciones normales "en el curso del negocio".
Los atacantes se han vuelto implacables al crear mensajes que parecen auténticos para eludir las medidas comunes de seguridad del correo electrónico. Aquí hay varias tendencias clave sobre las tácticas específicas que están utilizando, junto con estrategias que las organizaciones pueden emplear para evitar que esas tácticas provoquen una violación de seguridad.
No hagas clic aquí, allí — o en ningún lugar.
Los enlaces engañosos son la categoría — de amenazas de phishing número 1, los cuales aparecen en el 35,6 % de las detecciones de amenazas. Dado que el texto de visualización de un enlace (hipertexto) en HTML puede establecerse arbitrariamente, los atacantes pueden hacer que una URL parezca que se enlaza a un sitio benigno cuando, de hecho, es realmente malicioso.
La mayoría de las organizaciones han implementado alguna forma de entrenamiento de concientización en seguridad cibernética para recordar a sus usuarios que estén atentos a los enlaces en los correos electrónicos sospechosos de trabajo. Sin embargo, los atacantes están lanzando cada vez más sus señuelos de phishing en canales donde los usuarios son menos cautelosos sobre dónde hacen clic.
En un enfoque llamado phishing "multicanal", los ataques pueden comenzar con un correo electrónico, pero continuar a través de mensajes de texto SMS o mensajería instantánea, redes sociales, servicios de colaboración en la nube y otras herramientas conectadas a Internet que generalmente no están protegidas por controles contra el phishing.
Por ejemplo, una campaña de phishing multicanal involucró el ataque altamente publicitado llamado "0ktapus", que tenía como objetivo a más de 130 organizaciones. Se enviaron mensajes de texto a las personas, redirigiéndolas a un sitio de phishing que suplantaba el popular servicio de inicio de sesión único (SSO), Okta. En última instancia, se robaron casi 10 000 credenciales.
En otra campaña dirigida a múltiples canales de comunicación, los atacantes realizaron phishing a un empleado de Activision y luego robaron datos confidenciales a través de los canales internos de Slack de la empresa.
Según una encuesta global encargada por Cloudflare y realizada por Forrester Consulting*:
el 89 % de los encargados de tomar decisiones de seguridad están preocupados por las amenazas de phishing multicanal.
8 de cada 10 dijeron que su empresa está expuesta en diversos canales, como en herramientas de mensajería instantánea (IM), de colaboración en la nube o de productividad, en entornos móviles/SMS y redes sociales.
Sin embargo, solo 1 de cada 4 encuestados consideran que su empresa está completamente preparada para las amenazas de phishing en diversos canales.
Los atacantes todavía utilizan enlaces porque incluso los empleados mejor "capacitados" (y las soluciones de seguridad) no pueden detectar con precisión los enlaces maliciosos el 100 % de las veces. Con tan solo un usuario que haga clic en el enlace equivocado puede llevar al robo de credenciales, malware y pérdidas financieras significativas.
Lo que nos lleva a otra tendencia clave del phishing: correos electrónicos maliciosos que evitan (o incluso utilizan) servicios que se supone autentican la identidad del remitente.
Los atacantes "aprueban" las comprobaciones de seguridad
Los phishers se harán pasar por cualquier empresa o marca reconocible para que hagas clic. Según investigaciones, los atacantes se hicieron pasar por casi 1000 organizaciones diferentes. Microsoft y otras marcas con las que las personas interactúan con frecuencia para realizar su trabajo, como Salesforce, Box y Zoom — encabezaron la lista.
Esta táctica, conocida como suplantación de marca, se lleva a cabo mediante una amplia variedad de técnicas, que incluyen:
Suplantación del nombre de visualización, donde el nombre del remitente en los encabezados de correo electrónico visibles incluye el nombre de una marca conocida o legítima.
Suplantación de dominio o domain spoofing, donde el atacante registra un dominio que se parece al dominio de la marca suplantada, pero lo utiliza para enviar mensajes de phishing.
Nuevos dominios registrados que aún no han sido clasificados como maliciosos. (En la campaña "0ktapus", los atacantes aprovecharon un dominio que había sido registrado menos de una hora antes del ataque).
Los estándares de autenticación de correo electrónico (SPF, DKIM, y DMARC) se mencionan a menudo como una defensa clave contra la suplantación de marca. Sin embargo, estos métodos tienen limitaciones. De hecho, la investigación encontró que la mayoría, el 89 %, de las amenazas de correo electrónico "aprobaron" las comprobaciones de SPF, DKIM y/o DMARC.
Existen muchas razones por las cuales esto puede suceder. Por ejemplo, recientemente, investigadores universitarios describieron fallos en el reenvío de correos electrónicos que podrían permitir a los atacantes explotar Microsoft Outlook.
Otras limitaciones de la autenticación de correo electrónico incluyen:
Falta de inspección de contenido: al igual que enviar una carta por correo registrado, la autenticación del correo electrónico garantiza la entrega; no comprueba si el contenido de un mensaje contiene URL maliciosos, adjuntos o cargas malintencionadas.
Protección limitada contra dominios parecidos: la autenticación de correo electrónico no te alertará sobre un nombre de dominio parecido o similar registrado correctamente; por ejemplo, un mensaje enviado desde name@examp1e.com en lugar de name@example.com.
Complejidad de configuración y mantenimiento continuo: si tu configuración es demasiado estricta, los correos electrónicos legítimos serán rechazados o marcados como spam. Si es demasiado permisivo, tu dominio podría ser utilizado indebidamente para la suplantación de correo electrónico y phishing.
El phishing es demasiado dinámico como para confiar en los remitentes "seguros".
Como se ha visto con el fracaso de la autenticación de correo electrónico para detener la suplantación de marca, los atacantes se adaptan. Si enviaron mensajes fraudulentos sobre COVID-19 ayer (la Organización Mundial de la Salud fue la segunda organización más suplantada el año pasado), estafas de repago de préstamos estudiantiles hoy, ¿qué podrían contener las campañas de phishing de mañana?
El gran desafío es que los ataques de phishing más costosos son objetivos importantes y de bajo volumen. No son identificados fácilmente por las puertas de enlace reactivas de correo electrónico seguro (SEGs) que buscan amenazas "conocidas".
Por ejemplo, el ataque al correo electrónico corporativo (BEC), un tipo de ataque de ingeniería social que no contiene adjuntos maliciosos o malware, está diseñado específicamente para un destinatario en particular dentro de una organización. El atacante puede suplantar a alguien con quien la víctima prevista se comunica regularmente o el atacante puede "secuestrar" un hilo de correo electrónico legítimo existente.
El ataque al correo electrónico corporativo (BEC) ha costado a las empresas y personas 50 mil millones de dólares en todo el mundo. Las pérdidas por BEC ahora incluso superan a las pérdidas financieras relacionadas con el ransomware. Aquí hay algunos ejemplos que muestran cómo los atacantes primero obtuvieron una comprensión profunda de las operaciones de la víctima (y de quién confiaban) para lanzar con éxito estas campañas de ataque al correo electrónico corporativo (BEC):
Los atacantes monitorearon — y luego procedieron a suplantar — los correos electrónicos del director de operaciones y proveedores de un sistema de escuelas públicas en Connecticut, y consiguieron robar más de 6 millones de dólares a principios de este año. (Puedes seguir leyendo sobre esta forma compleja de ataque al correo electrónico corporativo (BEC), conocida como ataque al correo electrónico de proveedores).
Una serie de esquemas de ataque al correo electrónico corporativo (BEC) engañaron a los programas estatales de Medicaid, a los contratistas administrativos de Medicare y a las aseguradoras de salud privadas para que desviaran más de 4,7 millones de dólares a los atacantes, en lugar de hacerlo a las cuentas bancarias de los hospitales previstos.
En 2022, los atacantes fingieron ser cuatro (falsas) empresas y defraudaron a un fabricante de alimentos de envíos valorados en 600 000 USD. Este tipo de incidentes se ha vuelto tan común que el FBI, el Departamento de Agricultura de los Estados Unidos (USDA) y la Administración de Alimentos y Medicamentos (FDA) emitieron un aviso conjunto para las empresas sobre cómo "prevenir, detectar y responder a los esquemas de robo de productos habilitados por el ataque al correo electrónico corporativo (BEC)". (Se estima que los alimentos robados o "falsificados" cuestan a la economía global hasta 40 mil millones de dólares al año).
Las campañas de phishing únicas y específicas burlarán un SEG tradicional. Esa podría ser la razón por la que los analistas de Forrester proclamaron en un blog sobre atacantes que explotan una vulnerabilidad en la Puerta de enlace de correo electrónico seguro de Barracuda: "el 2023 llamó y no quiere recuperar sus dispositivos de seguridad de correo electrónico".
Forrester continúa recomendando trasladar la seguridad del correo electrónico a la nube por varias razones, entre estas:
Actualizaciones más rápidas entregadas automáticamente
Arquitectura más sencilla
Escalabilidad para satisfacer la demanda
Sin preocupaciones por hardware o necesidad de reemplazarlo
Remediación y mitigación más fáciles
Reemplazar un SEG con seguridad de correo electrónico en la nube es el paso más importante para prevenir el phishing. Sin embargo, así como los atacantes utilizan múltiples canales para lanzar sus campañas, las empresas también deberían asegurarse de tener múltiples capas de protección contra el phishing.
El enfoque en capas contra el phishing es imprescindible, especialmente cuando la mensajería, la colaboración en la nube y las aplicaciones de SaaS en múltiples dispositivos representan riesgos. Como Jess Burn, analista senior de Forrester, señala: "Las protecciones desarrolladas para el buzón de correo electrónico deben extenderse a estos entornos y a lo largo de los flujos de trabajo diarios de sus empleados". Agrega: "Al seleccionar o renovar con un proveedor de seguridad de correo electrónico corporativo, comprenda quién ofrece o prioriza un enfoque más integral para proteger todas las formas en que su personal trabaja".
El poder de un enfoque en capas para detener las amenazas futuras
Incluso si un mensaje ha aprobado la autenticación de correo electrónico, proviene de un dominio confiable y es de un remitente "conocido", no se debe confiar inherentemente en él.En cambio, prevenir un posible ataque de phishing requiere un modelo de seguridad de Zero Trust que garantiza que todo el tráfico del usuario se compruebe, filtre, inspeccione y aísle de las amenazas de Internet.
Cloudflare Zero Trust protege de manera integral contra las amenazas de phishing e incluye:
Integrar la seguridad de correo electrónico en la nube con aislamiento remoto del navegador (RBI) para aislar automáticamente los enlaces sospechosos en los correos electrónicos. Esto evita que los dispositivos de los usuarios se expongan a contenido web malicioso.
Escaneo proactivo de Internet en busca de infraestructuras, fuentes y mecanismos de entrega de atacantes para identificar y detener la infraestructura de phishing días antes de que se lancen las campañas de phishing.
Detectar nombres de host creados específicamente para phishing de marcas legítimas. Esto se logra al analizar los billones de consultas diarias de DNS.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
*Fuente: Forrester Opportunity Snapshot: A Custom Study Commissioned by Cloudflare, “Leverage Zero Trust to Combat Multichannel Phishing Threats,” mayo de 2023.
Más información sobre este tema
Para más información sobre las amenazas de phishing modernas que engañan las defensas de seguridad de correo electrónico comunes, obtén el último Informe sobre amenazas de phishing.
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Los atacantes están suplantando a las marcas en las que confiamos, aparentando ser auténticos
La evolución hacia el phishing multicanal.
Cómo migrar a la seguridad de correo electrónico en la nube es el paso más importante para prevenir el phishing.
El papel que Zero Trust tiene en proteger la empresa moderna.