Seguridad

Spear Phishing: ¿Cómo Funciona?

By Mayo 12, 2020 No Comments

sperar phishing

Aproximadamente, el 91% de los ciberataques inician con un Spear Phishing

Spear Phishing es un correo electrónico dirigido especialmente a un objetivo o grupo de objetivos como una persona, comunidad, organización, empresa, rubro, etc. Se trata, de un vector de ataque el cual se apoya de la ingeniera social para estudiar y realizar inteligencia previa sobre los objetivos de forma tal de construir un ataque adecuado al contexto y objetivos. Hace un tiempo publicamos en nuestro blog diferencias entre los tipos de vectores de ataque mediante correo electrónico, te invito a revisar esta información: https://bit.ly/2WKz0bf

¿Cómo Se construye un Spear Phishing?

Como ilustración, hemos simplificado el proceso de elaborar un Spear Phishing en cinco pasos con un grado de abstracción en los detalles propios de este ataque.

 

1.- Identificar el/los objetivos.

Primeramente, un ciberdelincuente realizará una investigación de sus objetivos para determinar datos como dominios, correos electrónicos, relación y/o posición en la organización, infraestructura de la organización, contactos, circulo cercano, etc. Todo lo anterior, empleando técnicas de inteligencia de fuentes abiertas como Google Dorks. Como resultado, obtenemos un perfil del o los objetivos con el cual determinar la estrategia adecuada para construir el Spear Phishing; Si el objetivo es una organización, entonces perfilamos elementos comunes, como servicios o infraestructura, y luego relacionamos a las personas de forma tal de construir una propuesta convincente. Si el objetivo es una persona, hacemos énfasis en las relaciones, redes sociales, amistades, pasatiempos y trabajos.

 

2.- Técnicas de Evasión

El objetivo de un Spear Phishing, al igual que el del Whaling, es llegar al Inbox del usuario objetivo. A razón de lo anterior, el proceso de Identificar -anterior- normalmente provee bastante información incluyendo, en muchas ocasiones, las soluciones de seguridad empleadas por el o los objetivos lo cual es un dato relevante para incluir alguna técnica de evasión. Por otro lado, el Spear Phishing es un correo mucho más elaborado que un Phishing normal y, por tanto, hace uso de técnicas anti-Spam con el objetivo de garantizar, en el mayor de los escenarios, llegar directamente al Inbox de los usuarios objetivos.

 

El tercer y cuarto trimestre de 2019, el equipo de Compunet realizó, a muchos de nuestros clientes, un laboratorio práctico para montar un altamente efectivo entorno de ingeniería social empleando herramientas y servicios (libres, fremium y trials) disponibles de forma simple y publica; En este laboratorio se hizo énfasis al uso de dominios y su validación para garantizar que los correos llegan sus objetivos a través del uso de servicios confiables como, por ejemplo, un TRIAL de Microsoft Office 365.

 

3.- Canales de Exfiltración

Dependiendo el propósito del Spear Phishing, definir los canales de exfiltración será más o menos complejo. En el escenario más simple, se implementa un landing page con el cual capturar información como, por ejemplo, contraseñas. En un escenario más complejo, nuestro Spear Phishing busca distribuir un payload que nos proveerá de un canal de comunicación mediante, por ejemplo, de un reverse_https con el cual tomar control del equipo afectado.

 

4.- Despliegue

¡Listo y enviar! Normalmente no es así.

Un Spear Phishing tiene un proceso de investigación el cual busca maximizar la tasa de éxito. El momento del despliegue es también táctico y alineado a la estrategia definida para el o los objetivos. Es decir, si nuestro objetivo usa Sharepoint Online para compartir documentos corporativos, nuestro Spear Phishing es mucho más eficiente en horario laboral que un domingo por la madrugada.

 

5.- Cosecha

Entonces, ¿Qué hemos obtenido? Por supuesto que, en función del objetivo, tendremos uno u otro resultado. Siguiendo con los planteamientos anteriores, si nuestro propósito fue obtener credenciales, es momento entonces de verificarlas y disponerlas para las siguientes etapas: venta, usurpación de identidad o elaborar otros ataques (chain attacks). Por otro lado, si nuestro propósito fue obtener un reverse_https, nos toca entonces comenzar el proceso de movimientos laterales y horizontales junto con garantizar la persistencia.

 

Finalmente, cuando pensamos en un Spear Phishing o en un Whaling (tipo CEO FRAUD), se nos viene a la cabeza un correo altamente elaborado a nivel de diseño y recursos cuando lo cierto es que los Spear Phishing y Whaling más efectivos son los simples, directos y que hacen uso de algunos elementos importantes como la temporalidad, el conocimiento del objetivo, el sentido de la urgencia y, para el caso de un CEO FRAUD, el “peso” de la estructura jerárquica de una organización. Menos, es más; Y los ciberdelincuentes cada vez lo tienen más en cuenta.

Conocer como se elabora un ataque nos permite posicionarnos en el lado de un atacante para evaluar nuestras defensas y mejorarlas junto con evaluar nuestras brechas como posible objetivo determinando nuestra postura de ciberseguridad.

 

Algunas sugerencias

 

  • Implantar una postura de defensa en profundidad e incorporando zero trust como postura de ciberseguridad.
  • Habilita, en lo posible, autenticación de doble factor para todos los servicios corporativos y personales.
  • No es buena idea publicar los datos de contacto de todo tu equipo.
  • Evalúa el grado de amenaza de tu organización mediante un servicio de evaluación de amenazas y exposición.
  • Desconfía de todo correo que te pida dar o hacer algo.
  • Monitoriza y analiza el uso y comportamiento de tus usuarios
  • Mantén actualizadas tus soluciones de ciberseguridad para spam, phishing, malware y ataques avanzados.
  • Concientiza y entrena a tus usuarios. Son tu primera y ultima barrera de defensa.

 

 

Esperamos haber aportado. Éxito y gracias por tu tiempo.

 

César Millavil Arenas

C|EH – ISO27001LA – ISO27032LM