Panorama de phishing primer semestre 2022

08 Agosto 2022
Informativo

 

Phishing es el delito de engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito. Como ocurre en la pesca, existe más de una forma de atrapar a una víctima, pero hay una táctica de phishing que es la más común. Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita (o “suplanta su identidad”) a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental. 

 

Ejemplo de correo tipo phishing

 

Cuando la víctima abre el correo electrónico o el mensaje de texto, encuentra un mensaje pensado para asustarle, con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia. 

Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias, y vender información personal en el mercado negro.

 

La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico incluye enlaces a un sitio web preparado por los criminales -que imita al de la empresa legítima- y en el que se invita a la víctima a introducir sus datos personales.

En este sentido existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers. De hecho, si bien el e-mail continúa siendo el medio más utilizado por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación, además: son frecuentes los intentos vía SMS (a veces llamados smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales.

Además, los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.

 

El objetivo del Phishing siempre es el la suplantación de identidad o lo que es lo mismo, el fraude: 

  • Robo de contraseñas
  • Tarjetas de crédito
  • Datos financieros
  • Usurpación de identidad en redes sociales
  • Entre otros

Ya que una vez enviados, los datos de la víctima pasarán a manos del estafador, el cual utilizará los recursos comprometidos a voluntad.

El contenido puede tener logotipos o cualquier tipo de imágenes que han tomado del sitio original, para dar mayor fiabilidad a su email.

 

Phishing suplantando entidad bancaria

 

Como se mencionaba anteriormente, los ataques de phishing provienen de estafadores que se hacen pasar por fuentes de confianza y pueden facilitar el acceso a todo tipo de datos confidenciales. 

A medida que evolucionan las tecnologías, también lo hacen los ciberataques, existiendo al día de hoy diferentes categorizaciones para este tipo de ataques:

  • Phishing de correo

Este tipo de ataque, que es la forma más habitual de phishing, utiliza tácticas como hipervínculos falsos para atraer a los destinatarios de correos y hacer que compartan su información personal. Los atacantes suelen hacerse pasar por un gran proveedor de cuentas como Microsoft o Google, o incluso por un compañero de trabajo.

  • Phishing de malware (o malspam)

Este tipo de ataque de phishing frecuente implanta malware camuflado como un archivo adjunto de confianza (como un currículum vítae o un extracto bancario) en un correo. En algunos casos, abrir un archivo adjunto con malware puede paralizar los sistemas de TI por completo.

  • Phishing de objetivo definido

Mientras que los ataques de phishing abarcan un radio amplio, el phishing de objetivo definido tiene como objetivo personas específicas y se aprovecha de la información recopilada al investigar sus trabajos y sus vidas sociales. El nivel de personalización de estos ataques es muy alto, por lo que sortean con eficacia la ciberseguridad básica.

  • Phishing de altos cargos

Cuando los usuarios malintencionados tienen como objetivo un "pez gordo", como el directivo de una empresa o una persona famosa, el ataque se denomina phishing de altos cargos. Estos estafadores suelen investigar en profundidad a sus objetivos con el propósito de encontrar el momento oportuno para robar sus credenciales de inicio de sesión u otra información confidencial. Si tú tienes mucho que perder, los atacantes de phishing de altos cargos tienen mucho que ganar.

  • Phishing por SMS (smishing)

El phishing por SMS o smishing (una combinación de las palabras "SMS" y "phishing") hace referencia al envío de mensajes de texto que se hacen pasar por comunicaciones de confianza de empresas como Amazon o FedEx. Las personas son especialmente vulnerables a las estafas por SMS, ya que los mensajes de texto se reciben en texto sin formato y se entienden como algo más personal.

  • Phishing por voz (vishing)

En las campañas de phishing por voz, los atacantes, desde centros de llamadas fraudulentos, intentan engañar a los usuarios para que proporcionen información confidencial por teléfono. En muchos casos, estas estafas utilizan ingeniería social para engañar a las víctimas y hacer que instalen malware en sus dispositivos en forma de aplicación.


Sin duda alguna, el phishing se ha vuelto una potente herramienta para orquestar esquemas de fraude y robo de datos, los que se distribuyen “libremente” en el mundo, teniendo claro que el objetivo principal siempre será la capacidad de lucrar con los datos recolectados.

Pero desde este punto de vista, no solo se puede mencionar que las operaciones donde se incluye el uso del phishing o el malspam (phishing distribuyendo malware) son utilizadas con fines lucrativos, sino que existen organizaciones con alto grado de discreción que abusan de estas técnicas para beneficios de alto impacto, a un nivel estratégico y político.

Es en este escenario donde sofisticados actores maliciosos entran en escena, ejecutando algunas de las operaciones más destacadas durante el primer semestre de 2022.

 

  • APT28 es evidenciado lanzando campaña de phishing contra organizaciones ucranianas: El último ataque cibernético involucró la suplantación de correo electrónico con actores de amenazas que enmascararon su mensaje como un aviso de seguridad de CERT-UA. Los adversarios tenían como objetivo engañar a las víctimas para que abrieran un archivo RAR malicioso protegido con contraseña adjunto al correo electrónico, cuya ejecución iniciaba una cadena de infección.
     
  • APT29 utiliza software legítimo para lanzar ataques a objetivos específicos en Europa: Investigadores de seguridad detectaron una campaña del APT Nobelium (aka APT29), distribuyendo phishing para comprometer objetivos específicos en Europa, haciéndose pasar por entidades gubernamentales, utilizando como C&C la API REST de Trello.
     
  • Nuevo Phishing Kit as a Service “Frappo” es ofrecido en la Dark Web: Investigadores han encontrado un nuevo conjunto de herramientas de Phishing as a Service, denominado Frappo, que se distribuye activamente en foros de la Dark Web. Este nuevo kit ofrece a los atacantes diseño de señuelos y sitios falsos de alta calidad, con implementación totalmente automatizada, lo que sugiere que atacantes sin experiencia podrían adquirir la herramienta y desplegar sus propios ataques.
     
  • COBALT MIRAGE lanza ataques de ransomware contra organizaciones estadounidenses: Inmediatamente después de la campaña de phishing lanzada por el grupo APT34 que difunde una nueva puerta trasera llamada “Saitama” , otro colectivo APT vinculado a Irán aparece realizando ataques de ransomware contra empresas estadounidenses, con fines de espionaje y beneficio financiero, cuya actividad involucra con frecuencia operaciones con ransomware.
     
  • Detectada nueva campaña de espionaje contra Ucrania por parte de Gamaredon: Durante la semana pasada, el CERT-UA recibió información respecto a una campaña de phishing que estaba siendo desplegada contra funcionarios del gobierno de Ucrania, con el fin de instalar la herramienta GammaLoad.PS1_v2 y efectuar captura de datos en el equipo de la víctima.
     
  • Grupo ruso Lorec53 es evidenciado en ataques en contra del gobierno de Georgia: Una campaña detectada y seguida desde julio de 2021, fue descubierta por investigadores de NSFOCUS Security Labs, donde se observó varios correos de phishing creados en georgiano. Los atacantes utilizaron los puntos críticos políticos actuales en Georgia para crear un cebo y entregar un troyano de robo de información a víctimas específicas, con el objetivo de extraer varios documentos de sus computadoras.
     
  • Nueva campaña del RAT - Infostealer AgentTesla evidenciada en Italia: Durante la última semana, se detectó un considerable aumento en el número de ataques por medio de phishing distribuyendo el RAT - Infostealer AgentTesla. El objetivo hasta el momento se concentra en entidades de gobierno y privadas.
     
  • Campaña de Phishing en contra PAYPAL utiliza dominios chilenos para alojar kit de ataque: Durante la última semana de mayo, se detectó una masiva campaña de Phishing contra clientes PAYPAL, alojando phishing kits en dominios registrados en Chile.
     
  • Aumento en campañas de smishing / phishing contra la banca chilena: Entre finales de mayo y principios de junio de 2022, se evidenció un aumento en las campañas de smishing y phishing llevadas cabo en contra de clientes pertenecientes a entidades bancarias chilenas, incluyendo suplantación de identidad, abuso de marca y presencia fraudulenta en redes sociales.
     
  • Grupo APT estado-nación desconocido explota Microsoft Follina para atacar a entidades europeas y estadounidenses: Los atacantes se hacen pasar por la “Oficina de Empoderamiento de la Mujer” de la Administración Central Tibetana y usan el dominio tibet-gov.web[.]app para los ataques. Proofpoint anunció a través de un tuit que bloqueó una campaña de phishing lanzada por un presunto actor de estado-nación, los ataques se dirigieron a menos de 10 clientes de Proofpoint (gobierno europeo y gobierno local de EE. UU.) con exploits para la vulnerabilidad de Follina. Estos mensajes de phishing se hicieron pasar por un aumento de salario y utilizaron un RTF con la carga útil de explotación.

 

Los anteriores datos, indican una clara señal de que el phishing se ha vuelto una herramienta de ataque transversal y efectiva, que puede ser utilizada en diferentes tipos de campañas y lanzadas por cualquier tipo de actor malicioso.

Sin embargo, diferentes operaciones han sido llevadas a cabo a través del uso de esta amenaza, destacándose el abuso de confianza por medio de la suplantación de identidad y las diferentes técnicas utilizadas en campañas de espionaje realizadas en suelo latinoamericano.

 

En una investigación realizada por el laboratorio ESET LATAM, se indica que la campaña apunta a que el método para lograr acceso inicial y comenzar la cadena de infección hasta descargar njRAT comenzaba con correos de phishing que simulaban ser comunicaciones oficiales del Sistema Penal Oral Acusatorio (SPOA) de Colombia. Estos correos incluían como adjuntos archivos comprimidos que estaban protegidos con una contraseña de cuatro números.

 


Ejemplo de malspam operación discordia
 

De acuerdo con la firma de seguridad, anteriormente se habría llevado a cabo otra operación de similares características, denominada “Operación Spalax”.

En el año 2020, el Laboratorio de ESET observó varios ataques dirigidos exclusivamente a entidades colombianas, los que se centraron tanto en instituciones gubernamentales como en empresas privadas, siendo los sectores energético y el metalúrgico los más apuntados. Los atacantes se apoyaron en el uso de troyanos de acceso remoto (RAT) con el objetivo de espiar a sus víctimas. 

Tomando en cuenta esta operación y la recientemente llevada a cabo “Operación Discordia”, ambas guardan similitudes en el modo de operación de los actores maliciosos, desde el uso de campañas de phishing hasta los artefactos relacionados a las infecciones en los equipos víctimas.

Hasta el momento, se desconoce la atribución de la campaña, sin embargo y dada la clara intención de la operación, no se descarta que grupos políticamente motivados estén detrás de dicha actividad.

 

Además de las evidentes campañas de espionaje realizadas por diferentes actores de amenaza, la utilización del phishing como medio de distribución de malware ha sido una tendencia al alza en los últimos años, ya que su efectividad es trágicamente alta.

A pesar de la evolución y mejora en la seguridad para las tecnologías corrientes y emergentes, los delincuentes constantemente se encuentran mejorando sus procesos para el despliegue de nuevos modelos de ataque, pero sin perder la discreción que les ha caracterizado.

En este punto, el phishing se ha vuelto una potente herramienta de despliegue de campañas de distribución de diferentes amenazas, desde infostealers hasta ransomware y malware del tipo RAT.

 

Si bien este tipo de amenaza no sigue un patrón de distribución común y dado su alto nivel de actualizaciones y versiones disponibles, pueden ser distribuidos por medio de emails, en sitios de descarga haciéndose pasar por otra clase de software, como parte de una segunda o tercera etapa de infección de otro malware, entre otros.

Los cargadores de este tipo de malware son comúnmente intérpretes de Auto Hot Key y Auto It, herramientas de distribución libre y legítimas que ayudan a automatizar tareas en los equipos, principalmente aquellos con sistema operativo Windows.

 


Distribución de infostealer primer semestre 2022
 

Para el caso de los RAT, se observó en los meses de mayo y junio, un notable aumento en el despliegue de campañas en LATAM, destacando la operación de espionaje llevada a cabo en el continente sudamericano y principalmente Colombia, en la llamada operación “Discordia”.

Como se menciona en boletines presentados por Entel, los cargadores de este tipo de malware son comúnmente intérpretes de AutoHotKey y AutoIt, herramientas de distribución libre y legítimas que ayudan a automatizar tareas en los equipos, principalmente aquellos con sistema operativo Windows.

 


Distribución del RAT nJRAT
 

Destaca el uso de njRAT en el último semestre, en donde se observó el alza en sus operaciones durante los primeros meses de 2022, volviéndose protagonista de una serie de campañas llevadas a cabo en LATAM durante el último período.

 

Bumblebee es un cargador de malware desarrollado recientemente, pero se ha convertido en el favorito de los ciberdelincuentes. 

Investigadores de Symantec descubrieron que el cargador Bumbleebee ha reemplazado a bastantes cargadores antiguos, detectándose que la herramienta se ha conectado a varias operaciones de ransomware.

 


Evolutivo por campaña durante 2022
 

Bumblebee ha sido vinculado a operaciones de ransomware por parte de Conti , Quantum y Mountlocker, lo que significa que el malware ahora está a la vanguardia del ecosistema de ransomware. 

Los investigadores, además, sospechan que el cargador puede haber sido utilizado como reemplazo de BazarLoader y Trickbot, dadas las superposiciones en la actividad reciente que involucra a Bumblebee.

 

Hacia finales de marzo del presente año, diferentes campañas de malspam intentaban distribuir troyanos bancarios por medio de diferentes técnicas, la que, de una forma u otra, eran capaces de alcanzar diferentes objetivos a través de masivos ataques contra entidades y particulares.

De estas familias de malware, destacan dos de ellas, quienes aún con el pasar del tiempo, han mejorado su arsenal de ataque y sus técnicas de ingeniería social, buscando a toda costa poder comprometer sus víctimas por medio de sofisticados y a la vez sencillos medios, que aciertan y garantizan un nivel de éxito muy alto en cada operación desplegada.

 

 
Troyanos bancarios con mayor actividad en Chile
 

La representación gráfica indica el volumen de víctimas semanales reportadas por diferentes fuentes de información, todas estas abordadas por medio de ataques de suplantación de identidad y phishing.

Las últimas campañas evidenciadas de Mekotio, suplantaron entidades gubernamentales que buscaban hacer creer a la víctima que debía descargar un documento para validar su estado sanitario respecto al SARS COVID-19.

Por otra parte, EMOTET sirvió de “loader” para el despliegue de otros tipos de infecciones de malware e incluso se le observó siendo empleado en ataques donde se desplegaba el ransomware Conti, una vez infectado el equipo víctima, cuando el grupo decidió dejar de utilizar el cargador de TrickBot, por problemas internos del grupo.

 

Un ataque del que ha sido víctima una organización chilena deja diferentes lecciones aprendidas respecto a los niveles de seguridad y confianza establecidos al trabajar con empresas de consultoría externa, donde frecuentemente se deben emitir pagos de honorarios y servicios, que son prestados por conceptos relacionados a los diferentes cargos asociados.

La comunicación entre ambas entidades fluye a través de correo electrónico y esto reviste un abanico de posibilidades para los actores maliciosos, que, aprovechando la explotación de confianza humana, han logrado suplantar la identidad de uno de los proveedores que finalmente se tradujo en el “robo” de una importante suma de dinero.

En este aspecto, la se observa justamente lo abordado en párrafos anteriores, donde el abuso de confianza, la falta de métodos de reconocimiento de amenazas y otras estrategias de protección, unificaron esfuerzos para la “receta del desastre”, resultando en un ataque exitoso que quedará en la memoria de aquellos que fueron involucrados en el incidente, de principio a fin.

 

Es común que, durante el progreso en el tiempo de un determinado ataque, cada vez busque ser generado mediante mayor sofisticación para evitar ser reconocido como fraudulento, es por eso que ciber delincuentes perfeccionan sus técnicas día a día para continuar engañando a sus víctimas, como las descritas a continuación:

 

  • Browser in the browser (BITB)

Es una técnica que se visualizó por primera vez en 2020 pero fue popularizada durante el presente año, que permite mediante la inserción de una ventana emergente en un sitio web, desplegar sitios de login que sustraen los datos del usuario y que son muy difíciles de detectar para un ojo inexperto, ya que el sitio fraudulento resulta idéntico al original, inclusive en su URL, solo que no corresponde a un sitio web si no a una ventana dentro de otra ventana (Browser in the browser).

Esta técnica se popularizó luego de que se publicará en sitios como GitHub plantillas para desplegar este ataque, reduciendo drásticamente el nivel de sofisticación para su despliegue.

La principal característica para su detección radica en que las ventanas comunes de un navegador pueden ser movidas dentro de la pantalla, maximizar y minimizar, mientras que aquellas alojadas como emergentes, solo se pueden mover dentro de la ventana donde se alojan.

 

  • Google CAPTCHA

Los ciberdelincuentes están utilizando reCAPTCHA de Google (también conocido como la función "No soy un robot") y servicios CAPTCHA para ocultar varias campañas de phishing utilizando técnicas de evasión cuyo objetivo final es escapar de la detección de los rastreadores de seguridad automatizados.

“Las URL maliciosas protegidas por CAPTCHA se están multiplicando” - informan los investigadores de Unit 42

Es así que, por medio de la utilización de recaptcha, logran bloquear el contenido de sus páginas de phishing y evitar que los servicios de escaneo de URL escaneen detectando el contenido malicioso, logrando finalmente otorgar un aspecto legítimo a las páginas de inicio de sesión de phishing.

 

En base a los datos obtenidos mediante muestreos y análisis ejecutados internamente es posible mantener una visualización referente a diferentes aspectos del panorama de phishing centrado en objetivos en Chile, pudiendo referir lo siguiente:

Entre los países donde se aloja la mayor cantidad de sitios web phishing dirigidos hacia Chile y LATAM corresponde en primera instancia a EE.UU, país que cuenta con numerosos ISP y servicios en la nube como Anti DDoS que permiten a actores maliciosos evadir detección de su IP  real mediante estos intermediarios que protegen el destino tanto de ataques como de análisis usualmente utilizando servicios gratuitos o de demo debido a que son completamente útiles para  la escasa duración de las campañas de phishing.

 

Paises con mayor actividad de phishing dirigida a LATAM en primer semestre 2022

 

Cabe destacar que dentro de los registros se identifica una pequeña cantidad de sitios web alojados en IP georreferenciadas en Chile. Esta actividad está principalmente dada por sitios web legítimos alojados en Chile que han sido comprometidos por actores maliciosos que despliegan sitios phishing con fin de evitar levantar recursos de infraestructura, minimizando costos y evadiendo identificación de los atacantes.

Si se revisan los registros y en consideración a lo detallado anteriormente, es posible identificar que Estados Unidos mantiene cantidades de eventos considerablemente superiores a los países que le siguen en cuanto a actividad maliciosa, superando al segundo lugar en casi un 1000% evidenciando que mantener extensas infraestructuras de internet limita en gran medida el control sobre ella y su uso por terceros.

En el TOP 5 de países con mayor incidencia de campañas de phishing dirigidas a chile basado en datos recopilados internamente, se desglosa de la siguiente manera:

TOP 5 países con mayor incidencia 2022

 

Por otra parte dentro del registro interno que se mantiene mes a mes, es posible determinar el grado de incidencia de campañas de phishing asociadas a cada banco, pudiendo determinar que el primer lugar es una organización que debido a que mantiene un gran número de  filiales alrededor del mundo y por tanto un amplio número de clientes, no es necesario dirigir el phishing a un país en específico, sino que es factible dirigirlo a una región entera como lo es la hispanohablante, por esta razón bancos que se operan localmente suelen mantener una menor incidencia.

 

Casos de phishing detectados por entidad bancaria

 

En cuanto a lo que días de actividad se refiere, la mayor cantidad de campañas tiene una duración de aproximadamente 1 día con un total de 85,6% de  registros, mientras que las campañas más extendidas que pueden llegar a durar 3 días, mantiene un total de sólo 0,2% de registros para todo el primer semestre de 2022, develando que suelen ser operaciones rápidas ya sea porque los administradores de los sitios web comprometidos han detectado la actividad maliciosa y han dado de baja estos accesos o porque tanto usuarios como empresas de seguridad evocan esfuerzos en denunciar estas a los proveedores de hosting.

Por otra parte, para los casos que se encuentran registrados como un día, puede que estos duren la totalidad o solo un par de horas, siendo esta la representación que más se le aproxima para fines estadísticos y de seguimiento.

La razón de esto pueden ser objetivos completamente dirigidos y que al alcanzar un número determinado de incidencias o de recolección de información, se dan de baja para no exponer la exposición de infraestructura por más tiempo de lo estrictamente necesario ya que suelen ser reutilizadas para múltiples operaciones esporádicas en el tiempo.

Días de vida para phishings detectados

 

Con los antecedentes si se pone en visual la  comparativa al mismo periodo de 2021 se puede identificar que la actividad maliciosa generada georreferenciada en Estados Unidos se mantiene firmemente con valores comparativamente similares a los que se han registrado en el actual periodo de 2022 y está dado por razones similares  a las detalladas anteriormente, sin embargo actualmente se observa un leve aumento en su incidencia mientras que en el TOP 5 de ambos periodos los únicos países que perduran en su posición son Estados unidos y Alemania.

 

Países con mayor actividad de phishing dirigida a LATAM en primer semestre 2021

 

Por otra parte, la actividad registrada en LATAM durante 2021 se encontraba considerablemente menor al periodo actual, pero con una incidencia elevada en detecciones georreferenciadas en Chile, el cual durante el año previo se posiciona dentro del TOP 5 de eventos.

Entre la visual global, también se detecta que durante mismo periodo de 2021 la actividad proveniente de Rusia y Asia se encontraba en niveles con incidencias igual o cercanas a cero.

 

TOP 5 paises con mayor incidencia 2021

 

Al generar una vista comparativa entre el primer semestre de 2021 y 2022 se identifica la variación en cuanto a eventos asociados a cada institución bancaria en donde aquellas que encabezan la lista, perduran en la misma posición durante ambos periodos, mientras que, del resto de la lista, de forma general se ha observado un aumento en las incidencias de cada institución.

 

Comparativa incidencias primer semestre 2021 v/s 2022

 

Basado en estadísticas de fuentes externas que generan análisis masivos de phishing alrededor del mundo se identifica que entre los Top Level Domain con mayor incidencia se detecta .com con una cantidad de detecciones lejos de los precedentes del segundo lugar dado que usualmente representan sitios de alta fiabilidad para un usuario inexperto. 

El uso de este TLD se debe a causas como la generación de sitios web fraudulentos mediante servicios de terceros que permiten obtener dominios .com o mediante el secuestro o abuso de sitios legítimos en que luego de acceder al control del mismo, se cargan sitios fraudulentos a modo de subdominios o a modo de subdirectorios.

 

Ejemplos de abusos de dominios


Los TLD restantes que se visualizan, suelen estar vinculados a organizaciones que no realizan fuertes fiscalizaciones a su mal uso, ya que usualmente suelen ser entidades con bajos niveles de “suscripciones” por tanto resulta una forma de incrementar nuevos clientes a sus servicios, mientras que, en paralelo, suelen estar asociadas a lugares geográficos escasamente regulados en materia de ciberseguridad y esto los ciber delincuentes lo saben.

 

Distribución de TLD usados para propagación de phishing

 

Según fuentes externas,  que cuentan con registro desde 2010 en adelante, demuestran que el crecimiento ha sido creciente en casi la mayoría de los años analizados, identificando que en 2020 se generaron volúmenes históricos en cantidad de phishing altamente vinculables al aprovechamiento de panorama mundial de COVID-19 para atacar a diferentes organizaciones e individuos que se debían mantener actualizados constantemente en materia de higiene y control por diferentes fuentes que es probable tuviesen su primer acercamiento recientemente por lo que no existía antecedentes de que accesos eran reales o ficticios.

Luego de esto se identifica una caída durante 2021 mientras que actualmente se encuentran en vías de alcanzar nuevos máximos históricos.

 

Distribución de volumen de phishing histórico
 

Además, es posible identificar que con el paso de los años se ha comenzado a utilizar sitios web que además cuentan con certificados de seguridad que permiten generar una imagen visual de mayor credibilidad ante los usuarios ya que se evitan los mensajes de sitio riesgos que generan automáticamente los navegadores web para sitios HTTP.

Para protocolo HTTP se puede ver una constante disminución en su uso desde 2018 a la fecha, mientras paralelamente protocolo HTTPS gana terreno en las campañas de phishing.

 

Distribución historia de sitios HTTP v/s HTTPS

 

Una de las razones de este comportamiento, es que a medida que avanza la concientización de usuarios en materia de ciberseguridad, ha sido innumerables veces repetida la recomendación de visualizar que el sitio que se visita mantenga el candado de seguridad.

 

Ejemplo de certificado de seguridad

 

Pese que esta recomendación continúa siendo válida, ya no garantiza que el sitio sea legítimo, puesto que existen certificados autogenerados o que son avalados por entidades como Godaddy que permiten levantar sitios en sus plataformas con un certificado válido, generado por ellos mismos, por lo que quien abuse de su servicio podrá levantar un sitio web con conexiones cifradas entre servidor y cliente, mostrando el conocido candado de seguridad.


En este tipo de amenazas no podemos esperar que sus operadores detengan la distribución, por lo que a modo general es importante tener presente y considerar diversos aspectos de los que se aprovechan actores maliciosos para vulnerar usuarios, principalmente dirigiendo esfuerzos en el resguardo de los servidores de correo electrónico para aplicar diferentes parámetros de seguridad, ya que es una tecnología que suele ser comprometida y/o utilizada maliciosamente para brindar una mayor veracidad en los mensajes entregados a las víctimas, logrando así, que incluso los correos con contenido malicioso parecen originados por un destinatario válido, por tanto se recomienda lo siguiente:

 

  • Configuraciones de seguridad

En estos días, es importante conseguir las autenticaciones SPF, DKIM, DMARCy BIMI, unas herramientas que verifican la identidad de los remitentes y protegen a los destinatarios. SPF (Sender Policy Framework o Marco de Política de Remitente) crea una lista de servidores autorizados para enviar correos desde un dominio web, DKIM (DomainKeys Identified Mail o Claves de Dominio de Correo Electrónico) incluye dos cifrados para garantizar que el correo es autorizado y fiable, DMARC (Message Authentication, Reporting and Conformance o Autenticación, Informes y Cumplimiento de Mensajes) protege el dominio frente a un uso no autorizado y BIMI, o Indicadores de Marca para la Identificación de Mensajes, también tenemos registros SPF, DKIM y DMARC que ayudan a los servidores de correo a decidir si los mensajes que dicen ser de su dominio son legítimos.

  • Sender Policy Framework [SPF]

El Sender Policy Framework, o SPF, es una configuración de registro TXT para los DNS que brinda una capa de seguridad al encargarse de certificar qué direccionamientos pueden mandar correo en nombre de su dominio.

Este registro es eficaz contra los ataques de phishing, ya que permite a los receptores de sus correos identificar fácilmente que efectivamente provienen desde un origen legítimo y permite bloquear o marcar como ilegítimo a aquellos que no correspondan.

También ayuda a que los servidores de destino tengan más confianza y no cataloguen correos legítimos enviados por la organización como SPAM.

El hecho de tener configurado este registro sirve para que un actor malicioso no utilice nuestro dominio para enviar correos (utilizando técnicas como spoofing), ya que el receptor de dicho correo podrá validar en nuestros registros SPF si la IP/dominio desde donde se está enviado el correo con spoofing está autorizado a ser representado por nosotros.

Importante recomendación es que exijan a sus proveedores que utilicen el mismo sistema para que nadie pueda suplantar la identidad de ellos si es que se utiliza Spoofing. Por otra parte, si la técnica utilizada es bandjacking (typosquatting), esto no tendrá efecto ya que el dominio sería otro.

  • DomainKeys Identified Mail [DKIM]

El DomainKeys Identified Mail, o DKIM, es un registro que permite firmar el correo con un dominio mediante claves públicas indicadas en las zonas de dominio de su organización. De este modo, el destinatario está seguro de que el correo ha sido enviado desde un servidor legítimo y no ha sido interceptado y/o reenviado desde otro servidor no autorizado.

Para este proceso son utilizadas llaves de cifrado públicas y privadas, por lo cual el emisor cifra el mensaje con su clave privada y el destinatario recibe el mensaje junto con una clave pública única que permite la visualización del mensaje.

En el caso de intentos de spoofing, la clave pública de la organización no permitirá que el mensaje desde un tercero con clave privada diferente sea considerado válido ni representativo.

  • BIMI

BIMI, o Indicadores de Marca para la Identificación de Mensajes, es un nuevo estándar creado para facilitar que su logotipo aparezca junto a su mensaje en la bandeja de entrada. Esto no sólo ayuda a su visibilidad, sino que BIMI está diseñado para prevenir los correos electrónicos fraudulentos y ayudar a la entrega segura (capacidad de que los emails enviados lleguen a las bandejas de entrada de los receptores asignados).

  • DMARC

El Domain-based Message Authentication, Reporting and Conformance, o DMARC, complementa al SPF y DKIM. Este registro indica qué hacer cuando dan error los registros anteriores, para así poder tomar las medidas necesarias lo antes posible. Se crea un registro TXT desde el apartado de zonas DNS.

 

En un panorama donde el acceso a internet es muy amplio cada vez existe un mercado lucrativo más grande en torno a esta tecnología ya sea de forma legal o ilegal y es aquí donde los ciberdelincuentes aprovechan puntos claves en donde las personas, el eslabón más débil de la cadena, son vulnerables y que corresponde usualmente a la aplicación de  la ingeniería social ya que es una técnica que requiere menos esfuerzo que quebrantar barreras de seguridad perimetrales de una organización para lograr comprometer una red. 

Esto está dado a que la víctima sólo tiene conocimientos de nivel usuario mientras que el atacante tiene vasto conocimiento en la materia, por tanto, trabajan en un terreno conocido en donde se le es fácil engañar a una víctima de diferentes formas para obtener su objetivo.

De acuerdo con los datos que se presentan en el documento, es esperable que este tipo de técnicas continúen en ascenso a lo largo del tiempo y se conviertan cada vez en procesos más sofisticados a medida que surgen vulnerabilidades compatibles con este tipo de ataques, como es el caso de la vulnerabilidad recientemente conocida Follina, que ha permitido cambiar parte de los TTP’s de actores maliciosos para un despliegue menos disruptivo y que involucre cada vez menos interacción con el usuario.

Por otra parte, para lograr frenar parte de la alta incidencia de este tipo de ataques es que se debe tomar conciencia en la robustez de plataformas de seguridad perimetral ya que aplicando configuraciones robustas si bien no se evita la propagación de phishing, vuelve más sencillo su bloqueo e incluso su detección por parte de usuarios menos experimentados.

La principal forma de lograr que este tipo de ataques se detenga o disminuya es lograr que los beneficios económicos vinculados a ataques se vean reducidos de tal forma que ya no sea rentable este tipo de explotación masiva, mientras tanto solo resta tomar acción y comenzar a robustecer los sistemas que se mantengan al alcance y concientizar usuarios en la mayor medida posible.

 

 

Cómo protegerse contra el correo electrónico no deseado y el phishing a nivel empresarial e individual

  • Nunca responda a ningún spam: La mayoría de los spammers verifican la recepción y registran las respuestas. Cuanto más responda, es probable que reciba más spam.
  • Piense antes de hacer clic en "cancelar suscripción": Los spammers envían cartas de cancelación de suscripción falsas, en un intento de recopilar direcciones de correo electrónico activas. Si hace clic en "cancelar suscripción" en una de estas letras, es posible que simplemente aumente la cantidad de spam que recibe. No haga clic en los enlaces "cancelar suscripción" en los correos electrónicos que provengan de fuentes desconocidas.
  • Mantenga su navegador actualizado: Asegúrese de utilizar la última versión de su navegador web y de que se hayan aplicado todos los últimos parches de seguridad de Internet.
  • Utilice filtros antispam: Abra solo cuentas de correo electrónico con proveedores que incluyan filtrado de spam. Elija una solución antivirus y de seguridad de Internet que también incluye funciones avanzadas contra el correo no deseado.
  • Fórmese: la buena noticia es que ya lo ha hecho al leer este artículo. Manténgase un paso por delante de los phishers profundizando en su conocimiento de las estafas más recientes.
  • Sea escéptico: peque por el lado de la prudencia ante cualquier correo electrónico sospechoso. Antes de hacer clic en cualquier enlace o de descargar cualquier archivo adjunto, revise las señales de alerta de phishing que hemos mencionado en el artículo. Si cualquiera de esas señales se aplica al mensaje en cuestión, denúncielo y bórrelo.
  • Confirme antes de actuar: las empresas auténticas nunca se pondrán en contacto con usted por correo electrónico o teléfono para solicitarle datos personales. Si sucediera, llame usted mismo a la empresa con los datos de contacto que aparecen en su sitio web legítimo para confirmar cualquier cosa que se le haya dicho en el correo electrónico o la llamada. No responda directamente a los correos electrónicos sospechosos. Comience siempre una nueva comunicación mediante los canales de atención oficiales de la empresa.
  • Verifique los certificados de seguridad: no envíe ninguna información personal que no quisiera que tuviera un hacker salvo que esté convencido de que un sitio web es seguro. Verifique que la URL comienza con HTTPS y busque un icono de candado junto a la URL.
  • Cambie las contraseñas con regularidad: los phishers no pueden hacer mucho con sus contraseñas si ya no son válidas. Actualice las contraseñas de vez en cuando y emplee un administrador de contraseñas para que sean seguras y queden almacenadas de forma segura.
  • Examine sus cuentas: Revise escrupulosamente todos los extractos bancarios. Si no lo hace, podría pasar por alto un cargo fraudulento. A los bancos y a las tarjetas de crédito se les suele dar bien detectar fraudes, pero usted también debe prestar mucha atención a sus cuentas y extractos.
  • Utilice un bloqueador de anuncios: este consejo también podría titularse «no haga clic en ventanas emergentes», pero si utiliza un bloqueador de anuncios, éste detendrá la mayor parte de los anuncios emergentes. Las ventanas emergentes son vectores de phishing frecuentes: si ve una, nunca haga clic en el anuncio, aunque haya un gran botón donde pone «Cerrar». Utilice siempre la pequeña X en la esquina.
  • Lea los correos electrónicos como texto sin formato: este es un buen truco que ayuda a detectar estafas de phishing por correo electrónico. Convierta un mensaje a texto sin formato y podrá detectar URL de imágenes ocultas que no serían visibles en modo HTML.

Tags: #Panorama #Phishing #Semestre #Q1 #Q2 #Malspam #BITB #email #correo electrónico #estafa #fraude #suplantación #APT #Malware #Infostealer #Troyano #Banco #Bancario
  • Indicadores de compromiso
  • Tipo Indicador
    . .


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.