Phishing: Estafas y ataques de actualidad con más de 30 años de vida
Debido a la pandemia el número de ciberdelitos creció un 85% en 2020 y como bien sabemos es debido a que muchas personas se pasaron al trabajo en remoto, lo que se tradujo en nuevos targets para los ciberdelincuentes. Dentro de los ataques realizados por estos cibercriminales hoy trataremos uno de los más conocidos, el Phishing. En el ejemplo mostrado a continuación llegó a mi correo un mensaje, nada logrado, advirtiéndome de que había ganado una gran cantidad de Bitcoins, sin haber hecho nada. ¿No es maravilloso?
Aunque parezca evidente, todavía hay mucha gente que cae en este tipo de estafas en las que intentan hacerte creer que eres el visitante número 1.000.000 de cierta página y tienes un premio esperándote o bien que has ganado una gran cantidad de dinero. Evidentemente, el enlace del botón hace referencia a una URL acortada que redirige a un enlace malicioso.
Como bien sabemos, en un ataque de "phishing", el atacante suele suplantar marcas, organizaciones oficiales o productos populares para engañar al usuario objetivo y que este realice una acción determinada. Recientemente, la mayoría de las estafas de "phishing" hacía las empresas se han realizado con páginas falsas de inicio de sesión de Outlook y Office 365, entre muchos otros, con el fin de extraer las credenciales de las víctimas o como hemos visto en posts anteriores les basta con un Token OAuth, aunque los cibercriminales del Bitcoin utilizan todo tipo de trucos, com podemos ver en esta charla de Chema Alonso titulada "Bad Guys Never Sleep"
Figura 2: Ejemplo de phishing real
Como bien sabemos, en un ataque de "phishing", el atacante suele suplantar marcas, organizaciones oficiales o productos populares para engañar al usuario objetivo y que este realice una acción determinada. Recientemente, la mayoría de las estafas de "phishing" hacía las empresas se han realizado con páginas falsas de inicio de sesión de Outlook y Office 365, entre muchos otros, con el fin de extraer las credenciales de las víctimas o como hemos visto en posts anteriores les basta con un Token OAuth, aunque los cibercriminales del Bitcoin utilizan todo tipo de trucos, com podemos ver en esta charla de Chema Alonso titulada "Bad Guys Never Sleep"
Figura 3: Bad Guys Never Sleep
Para este esquema de "Phishing", los atacantes crean formularios de inicio de sesión idénticos o casi idénticos al de cualquier sitio web con el que quieran tirar el anzuelo y después, hacen llegar a la víctima el enlace a esta página, vía e-mail, SMS o redes sociales, para intentar “pescarlas” a través de técnicas de ingeniería social. En concreto, este caso de fraude o "scam" que intenta hacerse con las credenciales del usuario suele tener como objetivo una víctima que se encuentre en un entorno corporativo.
Cuando no se trata de un caso de phishing genérico y existe un estudio acerca de dichas víctimas, hablamos de Spear Phishing. A diferencia del Phishing convencional, en el Spear Phishing las víctimas son previamente seleccionadas y seguidas realizando una recopilación de información de estas que servirá para crear la “trampa” a medida.
¿Por qué lo hacen?
Es sencillo, en gran parte por dinero o espionaje industrial, si el atacante tiene control del e-mail de un empleado puede ver todo su contenido de trabajo, conversaciones, le puede suplantar, extorsionar y otras muchas cosas malvadas. Pero el objetivo principal, en estos casos, suele ser el acceso a información confidencial o la instalación de software malicioso.
Cabe destacar que no solo les ocurre a los empleados y a los grandes directivos, sino que este año los scammers están aprovechándose del incremento del desempleo debido a la pandemia para poner su atención en la gente que padece esta situación. La semana pasada, por ejemplo, se anunció que el grupo de ciberdelincuentes conocidos como "Golden Chickens" estaban realizando este tipo de fraudes a través de la plataforma Linkedin.
¿Cómo lo hacen?
Este grupo se ha dedicado a hacerse pasar por reclutadores ("recruiters" en inglés) de grandes empresas para ofertar puestos de trabajo. de nivel Una vez la víctima aplicaba a dicha oferta, el atacante enviaba un fichero .zip que supuestamente contenía información acerca del puesto de trabajo a desempeñar. Pero en realidad al abrir ese archivo se instala, sin ninguna advertencia, un troyano backdoor de tipo fileless que será capaz de ofrecer al atacante un acceso directo al sistema comprometido, además de poder instalar plugins maliciosos.
¿Por qué lo hacen?
Es sencillo, en gran parte por dinero o espionaje industrial, si el atacante tiene control del e-mail de un empleado puede ver todo su contenido de trabajo, conversaciones, le puede suplantar, extorsionar y otras muchas cosas malvadas. Pero el objetivo principal, en estos casos, suele ser el acceso a información confidencial o la instalación de software malicioso.
Cabe destacar que no solo les ocurre a los empleados y a los grandes directivos, sino que este año los scammers están aprovechándose del incremento del desempleo debido a la pandemia para poner su atención en la gente que padece esta situación. La semana pasada, por ejemplo, se anunció que el grupo de ciberdelincuentes conocidos como "Golden Chickens" estaban realizando este tipo de fraudes a través de la plataforma Linkedin.
¿Cómo lo hacen?
Este grupo se ha dedicado a hacerse pasar por reclutadores ("recruiters" en inglés) de grandes empresas para ofertar puestos de trabajo. de nivel Una vez la víctima aplicaba a dicha oferta, el atacante enviaba un fichero .zip que supuestamente contenía información acerca del puesto de trabajo a desempeñar. Pero en realidad al abrir ese archivo se instala, sin ninguna advertencia, un troyano backdoor de tipo fileless que será capaz de ofrecer al atacante un acceso directo al sistema comprometido, además de poder instalar plugins maliciosos.
Figura 4: Máxima Seguridad en Windows Gold Edition |
Este troyano se encuentra en el fichero more_eggs dentro del .zip y es difícil de detectar dado que hace uso de herramientas y procesos del propio sistema Microsoft Windows para ejecutarse (wmic) lo que le hace bastante sigiloso a no ser que tengas un entorno en el que hayas aplicado una fortificación alta del sistema Windows. Como os podéis imaginar, teniendo en cuenta que Linkedin tiene 740 millones de usuarios registrados, este tipo de ataque puede ser bastante amplio.
Pero la cosa no queda ahí, los targets no solo quedan en empresas y particulares sino también en entidades públicas como el conocido ciberataque al SEPE. Semanas después de este ataque el Ministerio de Inclusión de la Seguridad Social y Migraciones y el SEPE han alertado de otro Phishing que notifica un impago, suplantando a la Seguridad Social.
Variantes de phishing
Existen otros tipos de Phishing como el Smishing que se caracteriza por ser enviado vía SMS por ejemplo, hace un mes se identificó un fraude con la aplicación de la compañía logística FedEx, aunque también se dio el mismo caso con Correos y DHL.
Cabe destacar nuevos tipos de fraudes que utilizan técnicas de Machine Learning como la conocida estafa del CEO, en la que se suplanta en vivo (vídeo y audio) a dicho CEO y el atacante pide una transferencia a un determinado número de cuenta.
Figura 7: Weaponizing the Scam fraud with AI and Autoencoders
Algunos tips a seguir para intentar evadir y/o reconocer este tipo de estafas son: Se siempre coherente, por ejemplo, es poco probable que seas el ganador/a de un concurso si ni siquiera has participado en él. En el caso de los paquetes de mensajería puedes consultar el estado de tu paquete en la web oficial y en caso de duda debes contactar con el equipo de soporte a través de su sitio web. Ninguna aplicación debe pedirte una contraseña vía email. Fíjate en el lenguaje que utiliza el mensaje, en los fraudes suelen darse faltas de ortografía o caracteres Unicode en los enlaces a dominios.
Figura 5: Phishing - Suplantación de identidad a la Seguridad Social
Pero la cosa no queda ahí, los targets no solo quedan en empresas y particulares sino también en entidades públicas como el conocido ciberataque al SEPE. Semanas después de este ataque el Ministerio de Inclusión de la Seguridad Social y Migraciones y el SEPE han alertado de otro Phishing que notifica un impago, suplantando a la Seguridad Social.
Variantes de phishing
Existen otros tipos de Phishing como el Smishing que se caracteriza por ser enviado vía SMS por ejemplo, hace un mes se identificó un fraude con la aplicación de la compañía logística FedEx, aunque también se dio el mismo caso con Correos y DHL.
Figura 6: Smishing de Fedex
Cabe destacar nuevos tipos de fraudes que utilizan técnicas de Machine Learning como la conocida estafa del CEO, en la que se suplanta en vivo (vídeo y audio) a dicho CEO y el atacante pide una transferencia a un determinado número de cuenta.
Figura 7: Weaponizing the Scam fraud with AI and Autoencoders
Algunos tips a seguir para intentar evadir y/o reconocer este tipo de estafas son: Se siempre coherente, por ejemplo, es poco probable que seas el ganador/a de un concurso si ni siquiera has participado en él. En el caso de los paquetes de mensajería puedes consultar el estado de tu paquete en la web oficial y en caso de duda debes contactar con el equipo de soporte a través de su sitio web. Ninguna aplicación debe pedirte una contraseña vía email. Fíjate en el lenguaje que utiliza el mensaje, en los fraudes suelen darse faltas de ortografía o caracteres Unicode en los enlaces a dominios.
Mantén tu dispositivo fortificado y tu sistema operativo Windows siempre con Máxima Seguridad y tus aplicaciones siempre actualizadas para tener el sistema operativo parcheado. En caso de duda acerca de un enlace acortado no lo abras, utiliza herramientas como https://wheregoes.com/ para saber a dónde redirige dicho enlace. Actuemos con cautela, los ataques de Phishing cada vez son más y más sofisticados.
¡Un saludo hackers!
Autor: Luis E. Álvarez, desarrollador y miembro del equipo Ideas Locas CDCO de Telefónica.
Autor: Luis E. Álvarez, desarrollador y miembro del equipo Ideas Locas CDCO de Telefónica.
Contactar con Luis Eduardo Álvarez en MyPublicInbox |
No hay comentarios:
Publicar un comentario