Aprende a protegerte "o casi" de las tácticas o señuelos más empleados de PHISHING

Aunque los años van pasando, el phishing sigue siendo uno de los métodos de ataque más empleados y, aparentemente, de los que más éxito tienen. Desde simples bromas hasta peligrosos ransomware y troyanos, esta forma de ataque que se sirve del engaño sigue aprovechándose del exceso de confianza de algunos.

Después de publicar seis consejos para evitar ataques de ransomware, en esta ocasión vamos a enseñar a detectar los cinco señuelos más comunes empleados en el phishing a través de correo electrónico, siendo este uno de los medios más empleados a la hora de expandir malware y que podría tener consecuencias desastrosas en caso de infectar una computadora perteneciente a una red empresarial.

Ten cuidado con la factura adjuntada

Los señuelos donde el usuario ha supuestamente perdido dinero, “money out”, está entre los más empleados por los atacantes de phishing, representando casi la mitad de las campañas detectadas. El señuelo de “money out” utiliza la expectación provocada por el mismo proceso de pago para engañar a los destinatarios e incitarles a abrir un fichero adjuntado o un enlace puesto en el email.

El señuelo de la factura es el más utilizado seguido de la transacción, el cual ha resultado muy efectivo en campañas realizadas en Europa. También resultan muy comunes los señuelos relacionados con pedidos que el usuario no ha realizado.

El señuelo de “money out” a menudo incluye un documento adjuntado con código malicioso embebido, el cual forma la mayoría de las veces parte de una macro maliciosa que tiene que ser habilitada por el usuario. En muchas ocasiones este mismo código malicioso se encarga de descargar otro malware.

No hagas clic sobre el documento escaneado

Los señuelos relacionados con faxes y notificaciones de archivos escaneados es el segundo tipo más utilizado, estando presente en una de cada diez campañas. Este señuelo se presenta como algo urgente. El fax está vinculado a las líneas telefónicas y de audio, las cuales no suelen estar asociadas al malware. Sin embargo, empleados que están bastante ocupados y que sufren estrés raras veces se lo piensan dos veces antes de hacer clic sobre el enlace asociado al malware.

El paquete que ha llegado con el recibo adjuntado

Las notificaciones falsas de compra y envío siguen siendo populares entre los atacantes que capitalizan la expansión de las tiendas electrónicas. Mientras que algunos de los señuelos de este tipo hacen uso de marcas conocidas (obviamente, sin su consentimiento ni conocimiento) para ofrecer un aspecto más realista, otros pretenden directamente hacerse pasar por un proveedor.

A la vez que más negocios se apoyan en las ventas y subastas online como principal medio para comerciar, no es raro que un proceso de compra en una tienda online sea completado por un vendedor diferente que sea desconocido para el comprador. Esto aumenta las posibilidades de que el receptor abra correos electrónicos de un falso vendedor que no corresponde con el proveedor original del producto.

Los señuelos de notificaciones de envío incluyen a menudo documentos adjuntados con los falsos detalles del pedido. Cuando el receptor abre ese documento con datos falsos un exploit se ejecuta automáticamente y se muestra un botón de “Habilitar contenido” que muestra los contenidos del documento. Una vez habilitados todos los contenidos del documento la infección por malware ya se ha producido.

Cuidado con los pedidos realizados con una lista adjuntada

Siendo similares a las facturas y las confirmaciones de pedido, los señuelos de transacciones de negocios difieren de las otras dos en que proponen un potencial acuerdo comercial, pidiendo el remitente (atacante) una lista de precios, acuerdos de importación y exportación, contratos, etc.

La prioridad en este tipo de señuelo es la de invitar al receptor a abrir directamente el fichero adjunto, que puede ser un fichero de texto o bien una hoja de cálculo, para que el receptor vea los detalles de la falsa solicitud. Esto da la ventaja a los atacantes de poder enviar mensajes cortos y simples.

Al igual que en los otros casos, el fichero adjuntado contiene código malicioso embebido que entra en acción una vez se haya abierto.

Verificación de la transacción

Otro de los señuelos más conocidos son las relacionadas con operaciones comerciales, los cuales suelen apoyarse en una URL que dirige al fichero malicioso. Este tipo de señuelo de phishing suele suplantar a un banco o una institución financiera y engaña al usuario haciéndole creer que ha recibido noticias a través de correo electrónico o bien algún pago online.

Cuando el receptor ha abierto el documento adjuntado para verificar o corregir la información de la operación, el código malicioso embebido en dicho documento entra en acción e infecta el ordenador con un ransomware o un troyano bancario.

Los mejores consejos para no picar en los señuelos

Para proteger los equipos, los datos y los usuarios de estos señuelos empleados para el phishing se pueden seguir las siguientes recomendaciones:

• Debido a la gran cantidad de ataques que hay a través de email, sería una buena idea invertir en soluciones de gateways para el correo capaces de detectar y prevenir ataques avanzados y aquellos que no están involucrados con ningún malware. Este paso ayuda a minimizar el número de amenazas que llegan a la red de la empresa. Una vez que dichas amenazas están en la red, el malware y el tráfico malicioso tendría que ser más difícil de detectar y distinguir del tráfico legítimo.
• No permitir la entrega de emails con código ejecutable adjuntado, y del mismo modo, no permitir la compartición de código a través de email. Promulgar reglas simples para bloquear ficheros adjuntos .exe o .js ayuda a prevenir la red de ficheros maliciosos enviados en formatos corrientes.
• Los atacantes utilizan una variedad de métodos para atacar a una organización. Implementar soluciones de seguridad que puedan correlacionar la actividad a través de vectores de amenazas es otra buena medida que se podría tomar. Esta capacidad ofrece una visión más profunda de los ataques para ayudar a resolverlos, bloquea futuros ataques y permite una detección más fácil los que pueden pasar.