Phishing, esa palabra que empleamos con mucha normalidad a menudo y que comprendemos todos quienes trabajamos en el área de las tecnologías de información. Y no solo nosotros; Hoy es ampliamente empleada por el usuario común y los distintos medios de información, lo cual es un gran logro para la ciberseguridad. Quisiera abordar un par de conceptos que extienden y especializan el concepto de Phishing haciendo que esta amenaza tome riesgos muchas veces no contemplados. Este tipo de amenazas, que veíamos muy lejanas, propias de otros países o guion de ciencia ficción, son ahora parte de nuestra realidad diaria. Pero partamos por el inicio…

La palabra o término Phishing es empleado para referirse a aquellos correos que tienen por objetivo estafar y/o engañar al usuario o receptor de estos con el objetivo de obtener, de manera fraudulenta, información relevante como contraseñas, datos personales, bancarios o bien propagar e infectar con malware el dispositivo de usuario. Esto ultimo, con el objetivo de robar y obtener información confidencial como:

  • Direcciones de correo
  • Información personal (rut, nombres, dirección, teléfonos, etc.)
  • Número de tarjetas de crédito
  • Información de cuentas bancarias
  • Redes sociales
  • Otras

Lo “bueno” (en el contexto de la narrativa) del Phishing es que podemos detectarlo; Normalmente son campañas masivas que apuntan a “tomar” todo lo que se pueda “pescar” apostando al volumen, aunque perfectamente pueden ser campañas especificas para ciertos servicios como, por ejemplo, todos los usuarios que deben declarar renta (típico Phishing de cada mes de abril en Chile):

Fuente: https://goo.gl/47Wvqh

Entonces, se trata de correos con poca o nula personalización que apuntan hacia servicios masivos de una complejidad simple a media para ser identificado.

¿Así que estamos de suerte… o no?

 

Spear Phishing

Este término es menos conocido: Se trata de una variante del Phishing con la particularidad de ser “dirigido” a grupos reducidos o personas especificas con lo cual el nivel de personalización es bastante mayor al del Phishing normal. El principal objetivo del Spear Phishing es conducir campañas de ataques APT (Amenazas Persistentes Avanzadas) apuntando los esfuerzos hacia perfiles determinados los que podrían proveer una alta efectividad a la campaña. La personalización que realiza el Spear Phishing permite usar el nombre, dirección, correos o cualquier otro dato tanto de los objetivos como del entorno de éstos. Lo anterior, supone un nivel de complejidad mayor en la identificaciónde este tipo de correos y aumenta la tasa de éxito del ataque.

El objetivo del Spear Phishing, normalmente es el punto más débil de la cadena, con bajos conocimientos informáticos y un pobre o nulo nivel de concientización. ¡O todo lo contrario! Podría, perfectamente, ser una campaña de Spear Phishing dirigida hacia usuarios claves de la organización donde el compromiso pueda proporcionar accesos, claves, credenciales… Las llaves del reino.

¿Whaling?

Whaling se refiere a una “pesca mayor”; Se trata de un tipo de Phishing que lleva un paso más allá al Spear Phishing. Es decir, el Whaling apunta directamente a los peces gordos, aquellos usuarios clave de una organización: CEO, CFO, CTO, CISO, etc. Pero no solo a este nivel, también lo extiende hacia cualquier perfil que sea clave para la organización o el contexto; Imaginen a un administrador clave de una infraestructura SCADA…

Whaling emplea una personalización única para elaborar el engaño mediante el uso de amplios y detallados conocimientos del objetivo y todo su entorno: Datos personales, hábitos, servicios usados, lugares frecuentados, intereses, gustos, contactos, familiares, mascotas, etc. El resultado puede ser devastador, el nivel de complejidad para su detección es extremadamente ALTO y posee, cuando es correctamente ejecutado, una alta tasa de efectividad. Normalmente, este tipo de ataques requiere de un esfuerzo e inversión de recursos bastante mayores a los que supone el PHISHING y SPEAR PHISHING considerando de que, también, normalmente el objetivoes un grupo muy reducido de objetivos e incluso un único objetivo lo cual es bastante común en Whaling.

Ataques como los perpetrados a JPMorgan Chase & Co, eBay, Target, Ubiquiti Networks, Sony Pictures y muchos otros, han sido obra y arte de alguna variante de la familia del Phishing junto, por supuesto, a técnicas de ingeniería social.

Phishing, Spear Phishing y Whaling, acompañados de un adecuado proceso de obtención de información junto a una estudiada y planificada táctica de Ingeniería Social, representa un elevado riesgo el cual debe ser debidamente considerado y, por supuesto, abordado. Riesgo que ataca donde mas nos duele, en el eslabón más débil de la cadena… el usuario.

Algunas sugerencias

  • Concientización en Ciberseguridad.
  • Verifica y valida el origen del correo.
  • No hacer click sobre los enlaces. Escribir completamente la dirección en el navegador
  • Revisar los links (editar) para verificar hacia donde se dirigen realmente
  • Si hay dudas sobre el correo recibido, elimínalo.
  • No. No eres el heredero, único sobreviviente de un lejano jeque de los Emiratos Árabes quien te ha dejado toda su fortuna al no tener descendencia directa alguna al momento de fallecer. Ciertamente es poco probable.

Quiero finalizar señalando que la concientización es determinante, dado que provee a los usuarios herramientas para abordar este tipo de riesgos. Normalmente, las campañas de concientización en seguridad y ciberseguridad son realizadas por el equipo de seguridad bajo un contexto de charlas internas con el objetivo de cumplir determinado hito de programación obteniendo un registro de evidencia. Es necesario evolucionar este concepto hacia una solución que provea datos reales que permitan ajustar las campañas de concientización conforme la evolución y nivel de madurez de los distintos usuarios.

 

César Millavil A

C|EH – ISO27001LA