El experto en información de seguridad Randy Nash analiza la historia y las técnicas involucradas en los ataques de phishing, mirando algunas posibles razones por las que estamos todavía me atrapen los intentos de phishing obvias.
La mayoría de la gente hoy en día son muy conscientes del spam de correo electrónico, el equivalente electrónico del correo basura. Esta dirección de correo electrónico no solicitado generalmente anuncia algún tipo de "producto", aunque yo uso ese término vagamente aquí. Los spammers envían cientos de miles de estos mensajes de correo electrónico no deseado, utilizando listas de correo obtenidas de diversas fuentes. El spam en general, no está dirigida de ninguna manera; los remitentes se basan en la gran cantidad de receptores que les proporcione un ingreso. Al parecer, un número suficiente de personas todavía se haga clic en estos mensajes de spam, e incluso comprar productos-hacer spamming una solución de negocio viable. El spam en general, no es malicioso en la naturaleza. Con esto me refiero a que por lo general no incluye malware o virus, como parte de su contenido.
Menos personas parecen ser conscientes de phishing, que se considera en realidad una forma de ingeniería social. En lugar de email ciego enviado a cientos de miles de usuarios al azar, phishing normalmente se dirige. Los ataques de phishing se ponen en marcha a través de correo electrónico oa través de sitios web maliciosos. Están concebidas para conseguir su confianza haciéndose pasar por alguien que ya conoce o fideicomiso. Ganan esta confianza mediante el uso de direcciones de correo electrónico y nombres de personas que ya conoce, o mediante el uso de los nombres de las organizaciones acreditadas. Ello incluye las compañías de tarjetas de crédito, bancos, minoristas o tiendas on line (Walmart, Target y Amazon.com, por ejemplo), e incluso las compañías navieras como UPS y FedEx. Estos mensajes de correo electrónico pueden solicitar información de su cuenta a "verificar su identidad", o tal vez sugerir que hay un problema con su cuenta o un envío de venir a ti. Los ataques de phishing también pueden ser lanzados a través de mensajería instantánea, mensajes de texto o llamadas telefónicas, pero las técnicas son similares.
Los ataques de phishing también aprovechan los nombres y reputaciones de organizaciones de caridad u organizaciones de recaudación de fondos. Pueden aprovecharse de los acontecimientos actuales, desastres, o tragedias, como estos ejemplos históricos:
Los desastres naturales como huracanes, tsunamis o terremotos
Las epidemias y las alarmas sanitarias como la gripe aviar, la gripe porcina, y más recientemente el Ébola
Las preocupaciones financieras o económicas, tales como el robo de identidad o fraude de tarjetas de crédito
Las preocupaciones políticas relacionadas con las elecciones actuales o incluso escándalos
Hacks de alto perfil, como la liberación de fotos de celebridades, correo electrónico, gobierno o listas de los nombres de usuario / contraseñas
Correo electrónico de phishing o sitios web a menudo emplean malware, virus, u otros códigos maliciosos destinados a poner en peligro su equipo y obtener más información acerca de usted. Los mensajes pueden dirigirse a usted por su nombre, y que pueden parecer de amigos, compañeros de trabajo, o las organizaciones con las que usted hace negocios activamente. En otras palabras, este mensaje puede aparecer en muchas formas de ser legítimo.
Visión general de ataques de phishing
Mientras que el concepto básico de phishing no ha cambiado, la implementación y hazañas han crecido con el tiempo. A mediados de octubre 2014 un nuevo ataque comenzó a extenderse, la utilización de técnicas de phishing comunes y despliegue de malware bancario. La intención de la dirección de correo electrónico de phishing fue para atraer al destinatario a abrir un archivo PDF adjunto que pretende ser un "INVOIC sin pagar" -Aviso el error de ortografía! Esto debería haber sido la primera pista de que este mensaje no era legítimo.
La carga útil de este ataque era Dyre / Dyreza de malware bancario, entregado usando una reciente vulnerabilidad de Adobe. Esto no fue una vulnerabilidad "0-day", y Adobe ya había actualizado el Acrobat Reader, pero las implementaciones de parches y actualizaciones puede quedarse. Los atacantes se basan en este retraso en parchear nuestros sistemas. Tienen los mecanismos de entrega en el lugar y espera; cuando se descubre una nueva vulnerabilidad, que son capaces de atacar rápidamente.
Hay muchas formas en que los usuarios podrían haber evitado ser afectados por este ataque. Voy a hablar de estas técnicas más adelante en este artículo.
Amenazas crecientes
Otra forma de ataque ha tenido lugar desde hace algún tiempo. Cabe mencionar, ya que ofrece un tipo diferente de carga conocido como ransomware. En lugar de tratar de robar o recuperar su información personal (nombre, credenciales bancarias de información, etc.), este malware cifra los archivos en un equipo infectado y emite un requerimiento de pago en Bitcoins para descifrar antes de una fecha límite. Si el usuario se niega a pagar, o no alcanza la fecha límite, los aumentos de precios. Un departamento de policía al parecer pagó el rescate para recuperar algunos archivos importantes de nuevo en 2013. La última variante sobre el tema de ransomware que se conoce como CryptoLocker.
Mientras que este malware paralizante podría ser frustrante para los usuarios domésticos, podría tener enorme impacto en una empresa, agencia gubernamental u otra organización grande. Los impactos de CryptoLocker se describen en este extracto de US-CERT (Alerta TA13-309A):
El malware tiene la capacidad de encontrar y encriptar archivos ubicados dentro de unidades compartidas de red, unidades USB, discos duros externos, recursos compartidos de archivos de red e incluso algunas unidades de almacenamiento en la nube. Si un ordenador en una red se infecta, unidades de red también podrían infectarse. CryptoLocker luego se conecta al mando de los atacantes y el servidor de control (C2) para depositar la clave privada de cifrado asimétrico fuera del alcance de la víctima.
A partir de esta descripción, se puede ver que muchos ordenadores pueden verse afectados de una infección inicial. Si este malware golpeó una red corporativa o gubernamental y se extendió a través de recursos compartidos de red con asignación de unidades o de archivo, el impacto podría ser enorme y costoso.
¿Por qué seguimos siendo atrapados?
Phishing ha existido durante muchos años, y las técnicas son bastante consistentes, pero la gente aún quedan atrapados. ¿Por qué? Creo que hay tres factores principales:
Fideicomiso. La gente fuera del ámbito de las TI, y más específicamente, la seguridad de TI tienden a tener más confianza. Si reciben un mensaje de correo electrónico diciendo que su tarjeta de crédito ha sido comprometida o que he echado de menos el pago de una factura, tienden a creer. Si conseguimos correo electrónico dirigido a alguien que conocemos, confiamos en que en realidad es de esa persona.
Miedo. Usted puede preguntarse por qué digo miedo es un factor en el éxito de estos ataques. Escuchamos todos los días acerca de la última exposición de nuestra información de tarjeta de crédito. Las principales empresas han sido hackeadas, y cientos de miles de registros de clientes se han expuesto. La gente en general temen que pueden perder dinero, o que su crédito puede verse afectado negativamente. Phishing de correo electrónico intenta capitalizar este miedo advirtiendo que debemos responder con rapidez.
La falta de conocimiento / conciencia. La educación es siempre el primer trabajo en seguridad de la información. Los profesionales de seguridad han sabido por años que las personas son el eslabón más débil de nuestras defensas. Este hecho es especialmente importante en casos como este, donde una simple falta de entendimiento puede llevar a un compromiso inmediato. Muchas personas, incluso hoy en día, simplemente no entienden los riesgos que implica el uso de Internet y sus múltiples recursos. Correo electrónico y sus archivos adjuntos, páginas web y descargas de archivos todos los riesgos presentes que son ignorados diariamente.
No hay comentarios:
Publicar un comentario