Con los primeros signos de verano en el aire, uno puede pensar en pescar... espera... blog equivocado...

En esta publicación inaugural del blog de seguridad cibernética de iDS, brindaremos una descripción general rápida de los ataques de phishing y el daño que pueden causar, la frecuencia de los ataques y algunos tipos comunes de ataques de phishing. Ien la segunda entrega, nos concentraremos principalmente en cómo prevenir y recuperarse de un ataque de phishing.

¿Qué es el phishing?

El phishing es una técnica empleada por los ciberdelincuentes para comprometer dispositivos y redes al engañar a los destinatarios de correo electrónico para que hagan clic en un enlace o abran un documento que contiene malware. Si bien Hollywood a menudo presenta a los piratas informáticos como héroes deshonestos que buscan derribar corporaciones malvadas o agencias gubernamentales siniestras, la realidad es mucho más compleja.

Hay piratas informáticos buenos y éticos, a menudo llamados piratas informáticos de sombrero blanco, que pueden ayudar a las organizaciones a identificar las debilidades en sus redes, sistemas o aplicaciones. Hay piratas informáticos de sombrero negro que usan sus habilidades para actividades maliciosas, como robar la información de su tarjeta de crédito o secretos corporativos.

En las películas, los piratas informáticos malvados generalmente participan activamente en sus ataques, es decir, se enfrentan a sus enemigos en tiempo real ante nuestros ojos, eludiendo los dispositivos de seguridad, extrayendo contraseñas y finalmente obteniendo acceso a las joyas de la corona de su objetivo, todo mientras nuestro los héroes intentan derrotarlos.

La realidad suele ser muy diferente y mucho más mundana. El vector más común de violación de datos en 2018 fue un correo electrónico de phishing, según IDG en su Estado de la ciberdelincuencia de EE. UU. de 2018, que se lleva a cabo en conjunto con la revista CSO, CERT, el Servicio Secreto y KnowBe4.

El estudio también encontró que ninguna organización es inmune. Las agencias gubernamentales y las grandes corporaciones soportaron un promedio de 196 eventos de seguridad por año, mientras que las pequeñas y medianas empresas típicas enfrentaron un promedio de 24 eventos por año.

El resultado de un ataque exitoso depende del objetivo del atacante. Un ataque común es incrustar malware en un correo electrónico que permite al atacante violar el perímetro de seguridad, acceder a sistemas adicionales y robar datos de clientes o credenciales de inicio de sesión. En este caso, es posible que ni siquiera sepa que ha sido violado hasta que el FBI o la prensa se comuniquen con usted para obtener un comentario.

Otros ataques son más obvios: todos entran a trabajar solo para descubrir que los datos en todas sus computadoras ahora están encriptados con ransomware. Y su copia de seguridad de recuperación ante desastres en tiempo real también está cifrada. Puede recuperar los datos por solo $50,000 en Bitcoin, un pequeño precio a pagar, le dicen.

Una violación de datos puede ser mucho peor. Las estimaciones varían, pero múltiples estudios que involucran una violación de datos de clientes tienen costos para una empresa mediana que experimenta una violación de unos pocos miles de registros de clientes o empleados vinculados a $1.5 millones a $5.5 millones. Los costos pueden ser mucho más altos, y eso no incluye el daño a la reputación en el que puede incurrir como resultado de la infracción.

¿Cuáles son ejemplos de ataques de phishing?

El phishing puede tomar muchas formas. La estafa más famosa (¿infame?) es un correo electrónico de phishing poco sofisticado en el que el remitente se hace pasar por un príncipe nigeriano (o un ex funcionario de finanzas del gobierno) y simplemente necesita una cuenta bancaria de EE. UU. para depositar su dinero.

Esta estafa, de alguna forma, existe desde hace más de un siglo, pero se ha vuelto mucho más común con la transición de un ataque basado en papel a un ataque basado en correo electrónico. Si bien la mayoría de las personas ven los correos electrónicos por la estafa ridículamente mala que son, es posible que se pregunte por qué todavía los vemos.

Bueno, es porque, desafortunadamente, todavía funciona. Millones de dólares llegan a los delincuentes a través de correos electrónicos poco sofisticados que son tan comunes que tienen su propio apodo: un fraude "419", llamado así por la sección de la categoría de fraude del código penal nigeriano.

Otro de los tipos comunes de ataques de phishing es el llamado spear phishing. Spear phishing es un ataque dirigido en el que el mal actor se dirige a un individuo específico y recopila información sobre su objetivo para crear un correo electrónico mucho más creíble.

Las redes sociales son una fuente principal de datos que se utilizan en los ataques de spear phishing. Por ejemplo, si publica sobre su estadía en un hotel específico, el mal actor puede crear un correo electrónico del seguimiento del hotel para pedirle que complete una encuesta de satisfacción. O pueden usar su perfil de LinkedIn para identificar que usted es un ex alumno de una escuela específica, luego generar un correo electrónico con un documento que describe un evento de ex alumnos o una iniciativa de recaudación de fondos.

Un tipo aún más especializado de ataque de spear phishing se llama caza de ballenas. La caza de ballenas implica apuntar a los ejecutivos más importantes de una organización para facilitar el robo de la información más valiosa de la organización o autorizar transferencias de fondos fraudulentas. La caza de ballenas suele ser un esfuerzo a largo plazo centrado en el reconocimiento para mejorar la eficacia del ataque.

Otra variación que está aumentando en frecuencia se llama phishing de voz o vishing. Hay muchas variaciones de vishing, desde muy simples hasta extraordinariamente complejas. En un extremo del espectro estaría una simple llamada telefónica para tratar de persuadir a alguien para que brinde detalles personales o información de la cuenta, como llamar a la mesa de ayuda y decirles que usted es un usuario que perdió su contraseña.

Un ataque más complejo podría combinar cambiar la información del identificador de llamadas, hacer una llamada y seguirla con un correo electrónico. Por ejemplo, un atacante podría hacer que su número de teléfono pareciera ser el número de teléfono de un alto ejecutivo de la empresa, haciendo una llamada telefónica al especialista en cuentas por pagar para decirles que el mayor proveedor de la empresa no ha recibido el pago y que se necesita una transferencia bancaria lo antes posible. .

Por teléfono, el atacante dice que obtendrá la información para el pago y enviará un correo electrónico con los detalles. El atacante sigue con un correo electrónico falsificado al objetivo que parece ser del mismo ejecutivo que contiene los números de ruta y de cuenta para una transferencia bancaria.

El ataque se completa con otra llamada telefónica que parece ser del ejecutivo confirmando que el especialista de AP recibió el correo electrónico y la información. Y el ejecutivo esperará en la línea mientras se ejecuta la transferencia.

Cualquiera que sea el ataque, en un mundo cada vez más digitalizado, todos estamos en riesgo. Nuestra próxima entrega se centrará en cómo ayudar a sus usuarios a evitar y a sus sistemas prevenir, detectar y recuperarse de estos ataques. Para obtener más información sobre nuestros servicios, comuníquese con Robert Kirtley al rkirtley@idsinc.com.

iDiscovery Solutions es una firma de consultoría estratégica, tecnología y servicios expertos que ofrece soluciones personalizadas de eDiscovery, desde análisis forense digital hasta testimonios de expertos para bufetes de abogados y corporaciones en los Estados Unidos y Europa.