Ataques phishing. ¿Caerás en la trampa?

Ataques phishing. ¿Caerás en la trampa?

Tiempo de lectura estimado: 8 minutos


Esta conferencia magistral pertenece al Módulo 2a "Concienciación en ciberseguridad" de C1b3rWall Academy 2021. El título de la ponencia guarda la intención de hacer reflexionar al espectador acerca de los casos planteados y que aprenda a detectar con éxito los casos de phishing.

Definición de phishing

El phishing es un tipo de fraude que emplea trucos de ingeniería social para engañar a sus victimas. El ataque se realiza mediante comunicaciones electrónicas en las que el atacante intenta persuadir a la víctima para que interactúe con un cebo planteado. Los objetivos normalmente son:

  • Robo de datos.
  • Distribución de malware.
  • Suplantación de identidad.

Método

Habitualmente, el phishing se realiza siguiendo una serie de pasos, aunque puede variar en función de la complejidad del ataque y del objetivo del atacante.

El primer paso sería un estudio del objetivo; en esta fase, el atacante monitoriza las redes sociales del objetivo u objetivos y realiza labores de recolección de información y espionaje. Posteriormente, el atacante elige el medio electrónico más adecuado según la víctima (mail, sms, llamada, anuncios...). A continuación, su idea es que la víctima caiga en el cebo, es decir, haga clic en el enlace, introduzca datos, descargue un fichero, etc. Por último, el atacante obtiene los datos y ejecuta el malware

¿A través de dónde puede entrar un phishing?

Se ha mencionado que el phishing consiste en una comunicación por medios electrónicos, y en función del medio se puede hablar de vectores por los que entra el phishing. Algunos de ellos son:

  • Por correo electrónico.
  • Por sitio web.
  • Por llamada telefónica.
  • Por SMS.
  • Por redes sociales.
  • Phishing físicos.

Tipos de phishing

Una vez se conocen los vectores de entrada, también hay que mencionar los tipos de phishing en función de los objetivos que un atacante o grupo de atacantes pueden tener. Por ejemplo, hay grupos de cibercriminales que se dedican al envío masivo de correos electrónicos y otros que solo hacen ataques dirigidos. Algunos de los tipos son:

  • Phishing a gran escala: envíos masivos sin un objetivo concreto.
  • Phishing dirigido: el atacante fija una víctima o un grupo reducido y prepara un ataque elaborado en el que se tienen en cuenta datos personales. Suele ser un ataque más efectivo, aunque con mayor coste para el atacante.
  • Whaling: se trata de un ataque dirigido a una persona con información de gran valor, como por ejemplo un CEO de una multinacional. La recompensa por el ataque será mayor, aunque normalmente, como es evidente, estas víctimas cuentan con más medidas de seguridad.
  • Fraude del CEO: un ataque en el que se engaña a personal de una empresa suplantando al CEO. El objetivo es que el personal revele información o realice movimientos por orden del supuesto CEO.
  • Manipulación de enlaces: engaño mediante la modificación intencionada de la URL de enlaces en documentos. El objetivo es que una víctima entre en el enlace para continuar con un phishing web.
  • Aprovechamiento de vulnerabilidades de terceros: se aprovechan páginas o aplicaciones de terceros con vulnerabilidades no conocidas para extender phishing de diferentes tipos a través de un tercero confiable. Se pueden aprovechar vulnerabilidades como XSS, CSRF, HTML, Injection, etc.

Casos conocidos

Es importante mencionar algunos casos conocidos para que el espectador se dé cuenta de cómo operan realmente los cibercriminales. 

El primer caso a mencionar es el del Mundial de fútbol de Rusia 2018. Los atacantes aprovecharon un robo de datos a la compañía de reserva de hoteles y viajes Booking.com para enviar masivamente SMS y WhatsApp con ofertas falsas de hoteles, entradas y productos oficiales. El objetivo era el robo de credenciales y tarjetas de crédito, y el caso se hizo tan viral que las organizaciones internacionales de fútbol tuvieron que emitir avisos.

El segundo caso es más importante si cabe, ya que el objetivo no fue el robo de datos, sino el control total de los sistemas informáticos de una organización. Este tipo de ataques son muy elaborados y suelen estar dirigidos a compañías grandes de las que pueden obtener grandes beneficios. Es el caso del hackeo al grupo Everis. Los atacantes estudiaron a los empleados y enviaron correos electrónicos con enlaces a descargas de ficheros maliciosos. Una vez se abría el fichero, los atacantes tenían el control de los equipos y se expandían por toda la red ejecutando un ransomware que secuestró todos los archivos. Se estima que Everis gastó más de 12 millones de euros más la pérdida de reputación que supone un evento como este.

Consejos para evitar estos ataques

Existen técnicas avanzadas que permiten a los atacantes ejecutar ataques phishing aun con protecciones como el doble factor de autenticación. Herramientas como Evilginx permiten suplantar de manera hiperrealista las webs de empresas como Amazon, Google, etc. y robar credenciales. Otras técnicas emplean dispositivos maliciosos con apariencia de USB o ratones que, al conectarse a un equipo, ejecutan malware o roban datos. 

Como tal no existe una "cura" a los ataques phishing, pero la formación es la mejor arma. El espectador puede aplicar estos consejos para evitar los ataques phishing:

  • Saber identificar correos sospechosos.
  • Implementar filtros antispam en los servidores de correo de las organizaciones.
  • En caso de duda, desconfiar siempre.
  • Introducir datos personales en webs seguras, verificar URL y los certificado TLS.
  • No introducir dispositivos, CDs y otros elementos encontrados en los puertos de los ordenadores.
  • Denunciar los casos de phishing detectados.
  • Ejecutar simulaciones de phishing en las empresas para conocer el nivel formativo y la concienciación de los empleados.

Ponente: Pablo Plaza Martínez

Pablo es analista de ciberseguridad en el Grupo de Investigación BISITE, miembro de la selección española de ciberseguridad y participante en competiciones CTF a nivel nacional e internacional. Además, es cofundador del blog ironhackers.es

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/