Perry Carpenter es Evangelista Jefe de KnowBe4 Inc., proveedor de la popular plataforma de formación de concienciación sobre seguridad & Simulated Phishing.
El phishing está en aumento y no muestra signos de desaceleración. Google informó de un récord de 2,1 millones de sitios de phishing en 2020, que es casi un 25% más que en 2019. Además, Google ha estado bloqueando de forma proactiva más de 18 millones de correos electrónicos de phishing cada día desde el inicio de la pandemia de Covid-19. Asombroso.
La mayoría de los ataques de phishing son como spam ordinario. Los correos electrónicos, los textos, los tweets y las publicaciones en redes sociales a menudo salen en volumen simplemente porque es más barato hacerlo, dirigiéndose a cualquier persona que haga clic en el mensaje, lo que luego inicia el ataque real. Pero sería un error pensar que todos los ataques de phishing son tan genéricos. Bienvenido al mundo del spear-phishing y la caza de ballenas (una clase superior de phish). Estas técnicas de phishing están en constante evolución y su enfoque no es de dispersión. Los informes indican que los sindicatos de ciberdelincuentes invierten activamente tiempo, dinero y esfuerzo para perseguir objetivos de alto valor.
Lo que diferencia al spear-phishing y la caza de ballenas de sus hermanos más genéricos y de mercado descendente es la naturaleza enfocada de los ataques. Mientras que el spear-phishing implica perseguir tipos específicos de objetivos, a menudo por afiliación organizacional, la caza de ballenas implica perseguir objetivos específicos (generalmente sustanciales y presumiblemente ricos) por posición, identidad o nombre. Echemos un vistazo a los mecanismos de los ataques de spear-phishing y caza de ballenas con más detalle.
Spear-Phishing: El Cambio De Indiscriminado a Objetivo
Los ataques de Spear-phishing tienden a explotar la información de acceso público y las organizaciones objetivo. Publicaciones en redes sociales, comunicados de prensa, artículos de noticias, etc. los utilizan los ciberdelincuentes para crear mensajes de correo electrónico que parecen confiables y auténticos. Tales mensajes pueden incluso parecer provenir de alguien dentro de la organización que tiene la autoridad para solicitar información confidencial. Una vez que los atacantes establecen confianza, los atacantes suelen solicitar nombres de usuario y contraseñas o pedir a las víctimas que hagan clic en un enlace que instala en secreto descargas desde el dispositivo en sus PC.
En diciembre de 2020, IBM anunció el descubrimiento de una campaña de phishing dirigido a una cadena de frío de la vacuna Covid-19 mediante el envío de correos electrónicos de phishing a empleados seleccionados en puestos de ventas, adquisiciones, tecnología de la información y finanzas.
El FBI también emitió una advertencia a las empresas estadounidenses contra un creciente ataque de phishing directo basado en voz que tiene como objetivo capturar las credenciales de inicio de sesión de los empleados. Los atacantes se disfrazan de otras personas llamadas empleados del trabajo desde casa en un intento por obtener las credenciales de su cuenta. Una vez que tienen acceso a estas credenciales, los atacantes obtienen acceso al entorno de la empresa y trazan su siguiente curso de acción. En última instancia, el spear-phisher podría obtener contraseñas administrativas, información de cuentas bancarias, acceso a propiedad intelectual u otros datos valiosos o lograr que alguien dentro de una organización específica ejecute un programa de malware malicioso.
Caza de ballenas: Los ataques de phishing generales lanzan una amplia red con la esperanza de atrapar a cualquiera que caiga en el anzuelo, mientras que la caza de ballenas se dirige a un individuo selecto, generalmente un ejecutivo de nivel C de una gran corporación. Uno de los primeros avistamientos de un ataque de caza de ballenas apareció en 2008 cuando el New York Times informó de un ciberataque dirigido a miles de ejecutivos de alto rango de empresas de servicios financieros.
Cada objetivo recibió un mensaje de correo electrónico disfrazado como una citación de los EE. Tribunal de Distrito en San Diego que incluyó el nombre, la compañía, la dirección y el número de teléfono del ejecutivo, así como las instrucciones para comparecer ante un gran jurado en un juicio civil próximo. El mensaje llevó a los destinatarios a descargar una copia completa de la citación, que luego inició una descarga desde el dispositivo que incluía un keylogger y un troyano de puerta trasera.
En otro ejemplo, en 2019, la ciudad de Saskatoon transfirió 1 millón de dólares a estafadores que se hacían pasar por el director financiero de una empresa de construcción de renombre. Los atacantes crearon nombres de dominio y direcciones de correo electrónico similares y convencieron a la ciudad de que su información bancaria había cambiado.
También han comenzado a surgir informes que sugieren el uso de la tecnología de inteligencia artificial (IA) y aprendizaje automático (ML). Los atacantes incluso están usando IA para emular a ejecutivos de alto rango y ejecutar ataques de caza de ballenas de alto perfil.
Prevención de ataques de phishing con lanza Y Caza de Ballenas
Aunque los ataques de phishing con lanza y caza de ballenas no se pueden detener, seguir estas cinco prácticas recomendadas sin duda puede ayudar a las personas a no enamorarse de ellos:
1. Nunca haga clic en enlaces o descargue archivos adjuntos sospechosos. La mayoría de los ataques de phishing terminan con una llamada a la acción, por lo general haciendo clic en un enlace o abriendo un archivo adjunto. Tan pronto como veas un enlace en el que se supone que debes hacer clic, deberías sospechar. Si cree que el enlace es legítimo, vaya al navegador y escriba la URL en lugar de pegarla. La mayoría de los atacantes usan acortadores de URL y nombres de dominio parecidos para engañar a las víctimas.
2. No caigas presa de una urgencia fabricada. Un componente vital de un ataque de phishing o caza de ballenas es la urgencia de la solicitud o demanda. La mayoría de los atacantes fabrican una urgencia que hace que la víctima se preocupe por una amenaza inminente o un plazo. Responder a tales súplicas, peticiones o demandas nunca es aconsejable.
3. Verifique las solicitudes antes de actuar. ¿Le pediría el director ejecutivo o el director financiero que transfiera miles de dólares a una cuenta en el extranjero? Si crees que algo está mal, debes verificar inmediatamente su autenticidad. Incluso cuando crea que la solicitud es genuina, siempre es una buena idea levantar el teléfono y verificar. Si recibe una llamada telefónica aleatoria solicitando credenciales de acceso, verifique siempre su identidad antes de compartir información confidencial.
4. Restrinja su información personal en línea. Los atacantes de lanza a menudo aprovechan la información personal de cuentas de redes sociales como Facebook, Twitter o LinkedIn. Mantenga sus cuentas privadas y evite publicar cada detalle de su vida personal y profesional en dichas plataformas.
5. Aumenta tu conciencia de ciberseguridad. Es importante que usted y sus empleados reciban educación y capacitación regulares que ayuden a desarrollar la memoria muscular para identificar y repeler los ciberataques. Los estudios han demostrado que el entrenamiento de phishing simulado puede reducir el porcentaje promedio propenso a los phish en más del 60%.
Las estafas dirigidas pueden resultar extremadamente dañinas. Sin embargo, la práctica de una buena ciberhigiene, combinada con una formación regular de concienciación y fuertes defensas tecnológicas, sin duda puede ayudar a las empresas a protegerse y mantener a raya a los phishers.
Forbes Business Council es la principal organización de crecimiento y creación de redes para propietarios y líderes de negocios. ¿Califico?
Sígueme en Twitter o LinkedIn. Echa un vistazo a mi sitio web.
Perry Carpenter es Evangelista Jefe de KnowBe4 Inc., proveedor de la popular plataforma de formación de concienciación sobre seguridad & Simulated Phishing. Lea el perfil ejecutivo completo de Perry Carpenter aquí.
Leer másLeer menos