Phishing: su estado al 2021, clasificación y cómo prevenirlo

• martes 4 enero, 2022

Estado del phishing en México y el mundo

Según el FBI, el phishing fue el tipo más común de ciberdelito en 2020 a nivel global, y los incidentes casi se duplicaron en frecuencia. Este aumento tiene un crecimiento exponencial ya que en comparativa con 2016 el phishing tuvo 11 veces más quejas en 2020 y de acuerdo con el Informe de Investigaciones de Violación de Datos (DBIR) de Verizon, el phishing fue la principal violación de ciberataques en 2021. La frecuencia de los ataques varía de una industria a otra, sin embargo, conforme a estadísticas ofrecidas por Statista, durante el primer trimestre de 2021, el 24,9 por ciento de los ataques de phishing en todo el mundo se dirigieron a instituciones financieras. Además de eso, las redes sociales representaron el 23,6 por ciento de los ataques, lo que convierte a estas dos en las industrias objetivo en lo que respecta al phishing durante este período, seguidos por servicios SaaS, eCommerce, el retail y servicios logísticos.

Este crecimiento exponencial se confirma en el informe de APWG, donde se analizó la actividad del phishing durante el primer trimestre de 2021 y se concluye que luego de un 2020 en el que se duplicó la cantidad de ataques de phishing, en el 2021 volvió a alcanzar un pico histórico a nivel global.

Phishing y el trabajo remoto

En México los equipos de TI en empresas de distintas industrias informaron que el phishing aumentó un 61 por ciento. El cambio al trabajo remoto ha presentado muchos desafíos para las empresas, y la ciberdelincuencia sin duda es el de mayor alcance, frecuencia y probabilidad de incidentes.

Los nuevos hábitos de trabajo han contribuido al reciente aumento del phishing porque los equipos de TI tienen menos supervisión sobre cómo los colegas usan sus dispositivos y pueden tener dificultades para brindar asistencia cuando las cosas van mal.

Según el Informe sobre el nuevo futuro del trabajo de Microsoft el 80 por ciento de los profesionales de seguridad encuestados dijeron que se habían enfrentado a un aumento de las amenazas a la seguridad desde que comenzó el cambio al trabajo remoto. De estos, el 62% dijo que las campañas de phishing habían aumentado más que cualquier otro tipo de amenaza. Los empleados dijeron que creían que los departamentos de TI podrían mitigar estos ataques de phishing si hubieran estado trabajando en la oficina.

El 96% de los ataques de phishing llegan por correo electrónico. Otro 3% se realiza a través de sitios web maliciosos y solo un 1% por teléfono. El phishing es un tipo de ataque cibernético denominado como ataque de ingeniería social donde se aprovechan del error humano, esperando que los internos autorizados proporcionen una apertura a un sistema informático. A diferencia de otros métodos de ataque que se basan únicamente en herramientas tecnológicas para romper el perímetro de seguridad, la ingeniería social busca anticipar e influir en el comportamiento humano.

En Advance Networks vamos a compartir con este artículo información sobre el concepto de ingeniería social y expondremos las cuatro etapas de ataque. Así mismo, proporcionaremos ejemplos de diferentes tipos de ataques de ingeniería social y cómo evitarlos.

¿Qué es la ingeniería social y cómo opera?

La ingeniería social es un método utilizado por los atacantes para engañar y engañar a los usuarios para que proporcionen información confidencial o actúen de una manera que comprometa la seguridad de una organización.

La mayoría de los ataques de ingeniería social ocurren en cuatro etapas:

1.     Investigación: los atacantes identifican sus objetivos, que pueden ser un grupo grande o individuos específicos con acceso o información privilegiados. Recopilan información básica sobre estos objetivos, y encuentran una manera eficaz de llamar su atención y estimularlos para que realicen una acción deseada.

2.     Lanzar el anzuelo: por lo general mediante el envío de mensajes a través de un canal de comunicación escrita. Los mensajes tienen como objetivo involucrar al usuario a través de un engaño que pueda llamar su atención y confianza, esto le permite al atacante tomar el control y llevar al objetivo a un comportamiento deseado.

3.     Activación: una vez que el objetivo ha realizado una acción comprometedora, el atacante la utiliza para obtener acceso o datos confidenciales y profundizar su presencia en la organización objetivo.

4.     Salida: los atacantes sofisticados pueden realizar acciones maliciosas de forma silenciosa y eliminar los rastros de malware, dejando a los usuarios y el personal de seguridad de la organización objetivo inconscientes de un ataque. Alternativamente, los atacantes pueden usar el acceso comprometido para colocar ransomware, lo que luego facilita y retiene un sistema como rehén de forma remota hasta que se elimina una amenaza de ransomware o se pierden datos.

Clasificación de ataques de ingeniería social

La ingeniería social tiene una definición amplia y puede haber muchas formas de interacciones de atacantes con objetivos de ataque. Estos son los ataques de ingeniería social más comunes:

Suplantación de identidad

Los ataques de phishing se basan en correos electrónicos y mensajes de texto, que llaman la atención de sus objetivos creando una sensación de peligro, urgencia, curiosidad o potencial beneficio personal. El mensaje cuenta una historia y anima a los usuarios a hacer clic en un enlace, descargar un archivo adjunto o realizar otra acción que comprometa la seguridad. Por lo general, el correo electrónico parece provenir de una entidad que el usuario reconoce, como un amigo, colega o proveedor de servicios.

Una variación de este ataque es el spear phishing, que es un ataque dirigido contra personas específicas que tienen acceso a sistemas críticos o una influencia significativa, como directores ejecutivos, administradores de sistemas o personal financiero. Los atacantes lanzan campañas sofisticadas y dirigidas que explotan rasgos específicos de sus objetivos y utilizan información personal cuidadosamente recopilada para engañarlos para que cumplan.

Ejemplo de este tipo de ataque: un usuario recibe un correo electrónico de su banco pidiéndole que cambie su contraseña. El correo electrónico parece ser enviado por el banco y se parece a los mensajes enviados por la institución real, pero los atacantes lo falsifican. Contiene un enlace que envía al usuario a una versión falsa del sitio web del banco, donde el usuario supuestamente cambia la contraseña, entregando su contraseña real a los atacantes.

Cebo

El cebo manipula emocionalmente al objetivo ofreciéndole una gran recompensa o apelando a su curiosidad. Los atacantes atraen al objetivo a una trampa y roban su información personal o instalan malware en su dispositivo. El cebo puede tomar la forma de un objeto físico, como un disco USB con una etiqueta que indica que contiene información muy valiosa o interesante. También puede ocurrir en línea, por ejemplo, a través de un anuncio que alienta a los usuarios a visitar un sitio web malicioso.

Ejemplo de este tipo de ataque: un atacante deja una unidad USB con la etiqueta «Información corporativa confidencial» en un baño o en un lugar público. Un transeúnte toma el dispositivo y lo conecta a su computadora para ver la supuesta información confidencial, y la unidad USB instala malware en su máquina. En el mundo online los ciberdelincuentes suelen utilizar servicios o plataformas que son muy populares para robar información a los usuarios como, bancos conocidos, plataformas de Streaming de vídeo o música, como en 2020 sucede utilizando plataformas como Netflix y Amazon.

Scareware

El scareware implica alertar al usuario sobre falsas amenazas o problemas en su sistema informático. El atacante utiliza software instalado en el dispositivo del usuario, o un sitio web que visita, para bombardear al usuario con ventanas emergentes u otras formas de alertas. Las alertas advierten al usuario de una infección de malware u otros problemas graves en la computadora y le instan a tomar medidas, como instalar una herramienta infectada con malware o realizar un «escaneo» ficticio de su computadora.

Ejemplo de este tipo de ataque: un usuario visita un sitio web malicioso y ve una ventana emergente que advierte que su computadora está infectada con software espía. Se les anima a descargar una herramienta gratuita para limpiar su sistema. El usuario hace clic e instala el software, que en realidad es el malware en sí mismo.

Vishing

En un ataque de pretexto, también conocido como vishing, un atacante finge ser una autoridad o una parte de confianza como la policía, una autoridad gubernamental, el banco del objetivo, etc. Le hacen al objetivo una serie de preguntas que supuestamente son necesarias para identificar su objetivo o proporcionarles un servicio, pero de hecho el usuario está entregando  su información confidencial.

Ejemplo de este tipo de ataque: un atacante finge ser una autoridad fiscal y le pide a su objetivo información sobre la seguridad social y la cuenta bancaria. Algunos usuarios pueden creer la estafa, cumplir y entregar su información personal y financiera.

Prevención de phishing / Ingeniería Social

La ingeniería social se está volviendo más sofisticada y manipula las debilidades humanas, por lo que no hay forma de prevenirla por completo. Sin embargo, hay varias formas en que las organizaciones pueden reducir las posibilidades de un ataque exitoso:

Educar a los usuarios para que reconozcan un ataque de phishing o ingeniería social: la capacitación en seguridad ayuda a los usuarios a identificar signos reveladores de suplantación de identidad y estafas, evitar interactuar con correos electrónicos sospechosos e informar incidentes a la seguridad.

Tomar medidas de precaución: los sistemas de correo electrónico pueden advertir o incluso bloquear a los usuarios para que no abran o interactúen con un correo electrónico de una fuente desconocida o sospechosa.

Utilizar la autenticación multifactor: si se requiere que los usuarios combinen contraseñas u otras credenciales con algo que posean, como un token de seguridad o un teléfono móvil, se puede limitar el impacto de los ataques de ingeniería social. Los atacantes pueden obtener credenciales, pero no objetos físicos.

Utilizar antivirus de próxima generación: los antivirus de próxima generación pueden evitar la ejecución de archivos maliciosos, incluso si no coinciden con una firma de malware conocida. Los atacantes utilizan cada vez más malware para evadir la defensa, cifrado de archivos y ataques sin archivos que son invisibles para los antivirus tradicionales.

La clave para prevenir la ingeniería social es un enfoque de “defensa en profundidad” que combina la alerta humana, medidas para prevenir la transmisión y ejecución de contenido dañino, tecnología antivirus robusta y autenticación sólida como última línea de defensa, en caso de que un ataque tenga éxito.

Cómo prevenir los ataques de ingeniería social con el antivirus de próxima generación de Cynet

Cynet NGAV combina múltiples tecnologías de prevención para maximizar la protección contra amenazas avanzadas, incluidos los ataques de día cero como las amenazas persistentes avanzadas y la ingeniería social. Es parte del conjunto de soluciones de ciberseguridad Cynet 360, que en conjunto brindan una estrategia de seguridad integral que puede mantenerse al día con cualquier amenaza.

Las características de Cynet incluyen:

Bloqueo de comportamientos sospechosos: Cynet supervisa los endpoints para identificar patrones de comportamiento que puedan indicar un exploit. Esto significa que incluso si se violan las credenciales, la capacidad del actor de la amenaza para usarlas será limitada.

Bloqueo de malware: la protección de múltiples capas de malware de Cynet incluye sandboxing, monitoreo de comportamiento de procesos y análisis estático basado en ML, así como también hashing difuso e inteligencia de amenazas. Esto asegura que incluso si un intento de ingeniería social logra convencer a un interno para que descargue malware, Cynet evitará que se ejecute.

UBA: Cynet actualiza una línea de base de comportamiento basada en un análisis continuo del comportamiento del usuario en tiempo real y proporciona alertas cuando identifica una anomalía de comportamiento. Esta anomalía puede indicar una cuenta de usuario comprometida o una acción no autorizada por parte de un usuario.

Descubrir amenazas ocultas: Cynet piensa como un adversario para descubrir amenazas, identificando indicadores de compromiso y comportamiento anómalo en terminales, usuarios, archivos y redes. Esto proporciona una descripción integral del proceso de ataque y ayuda a identificar los puntos vulnerables.

Si deseas conocer más acerca de Ciberseguridad y las mejores herramientas de protección de endpoints de la mano de los especialistas más reconocidos del mercado, contáctanos ahora  y un representante Advance estará encantado(a) de brindarte todo el apoyo que necesitas.

En Advance Networks somos una empresa de telecomunicaciones y ciberseguridad con más de 20 años de experiencia en el mercado y tenemos el propósito de acompañar a las empresas en su camino a la transformación digital, proporcionando soluciones a la medida de las necesidades de nuestros clientes.