El phishing es un ataque en el que los delincuentes informáticos inventan estrategias para llevar a los usuarios a caer en sus trampas, con un número variado de modificaciones que les permite realizar este engaño. Además, se convirtió en la técnica más usada para lograr un acceso inicial en un ataque cibernético.
En la matriz ATT&CK de MITRE, se crean tres sub-técnicas del phishing para determinar el mecanismo utilizado por los delincuentes cibernéticos, que tienen como objetivo conseguir ese paso fundamental en el ataque que es el acceso inicial.
La característica más importante para que esta técnica de ataque funcione es la interacción y ejecución por parte de la víctima. Este acceso puede presentarse en un enlace, un adjunto o en entregar información que le solicitan, en todos esos casos se requiere que el usuario caiga en la trampa elaborada por los delincuentes.
Por lo cual, para mitigar esta amenaza el principal mecanismo que se puede tener es la educación en esta materia. En la mayoría de las ocasiones, las campañas de concientización no van acompañadas de herramientas que faciliten la identificación de las amenazas.
Esto hace que los usuarios no apliquen las medidas de protección. Por esa razón, les comparto
3 prácticos pasos para mitigar los dos primeras sub-técnicas de Phishing que se colocan en la matriz.
Verifica el remitente
Suena extraño, pero esa es una de las herramientas más comunes para que el engaño sea efectivo. Al suplantar al remitente, el atacante usa el vínculo de confianza que tenga la víctima con este, para así pasar inadvertido.
Es un engaño sencillo para los delincuentes, pues el nombre del remitente solo es una referencia visual que no tiene ninguna validación. En algunas ocasiones son muy obvias las estafas, en otras no son para nada sencillas de detectar.
En las que no son tan simples, emplean técnicas de typosquatting, con el fin de que no nos percatemos del engaño.
Por último, están las que son más avanzadas, en las que el delincuente utiliza el logo y terminología propia de una entidad o persona que está suplantando. En este caso se debe mirar con mayor detalle el mensaje, con el fin de no ser víctima de la estafa o no ser pescado.
Como se puede apreciar en estos tres ejemplos, validar el correo del remitente y no confiar en el nombre que aparece en la lista de recibidos le permite al usuario reducir la posibilidad de caer en ese tipo de amenazas.
Enlaces en el mensaje
Es usual que en correos electrónicos recibamos enlaces que nos llevan a publicidad, documentos compartidos, sitios web, entre otros. Estos enlaces no muestran a dónde nos vamos a conectar, bien sea porque se enmascaran dentro de imágenes o del contenido del texto, o porque usan enlaces recortados.
Estas características les permiten a los delincuentes crear engaños, llevando a los usuarios a hacer clic sobre enlaces con contenidos maliciosos o dirigirlos a sitios web dedicados al robo de credenciales.
La forma de prevenir ser engañados en uno de estos ataques es realizar una validación del enlace que se va a seguir, lo cual se consigue de varias formas y con algunas herramientas en línea que veremos a continuación.
Como se puede ver en la imagen, al poner el cursor sobre el enlace aparece en la parte inferior izquierda, o en otros casos incluso sobre el mismo mensaje, el enlace completo. Esa información le da al usuario la ruta real a donde lo dirige ese enlace, en el caso de la imagen no tiene nada que ver con el remitente del correo.
Si el usuario tiene todavía alguna duda o quiere una verificación más exhaustiva, puede usar las herramientas DesenmascaraME y VirusTotal. Estas ejecutan un análisis en línea de las características de la dirección que le coloquemos y nos da una valoración de riesgo del sitio.
Simplemente, es copiar el enlace y pegarlo en estas páginas de esta forma:
El primer servicio se orienta a proteger sitios web que suplantan, por lo tanto, es muy útil para detectar los sitios falsos como el caso de esta muestra.
La segunda herramienta hace un análisis teniendo en cuenta reportes de inteligencia de amenazas de diferentes casas de antivirus. Si tomamos la misma página utilizada en el anterior ejercicio, no evidencia ninguna actividad maliciosa.
Dentro de la comunidad se tiene un reporte, que para salir de la duda es mejor validarlo. Con el ejemplo que tenemos es un voto negativo de uno de los integrantes de la comunidad.
Archivos Adjuntos
Un adjunto es la forma más usada de desplegar programas maliciosos debido a varias características propias del funcionamiento de los sistemas. Entre esas está el poder manipular las extensiones, incluir subprogramas dentro de documentos y aprovechar errores en el manejo de los nombres de los archivos.
Sin embargo, las formas más comunes de ataque que emplean los delincuentes son la modificación de las extensiones y los programas internos dentro de documentos. En el primer caso, es usual que los archivos enviados estén comprimidos, pues los detectores contra malware embebidos en los sistemas de correo no pueden analizar este tipo de archivos.
Para no caer en estas trampas se han creado varios servicios en línea. Con el fin de no hacer más complejo el ejercicio de revisión, vamos a ver tres herramientas que nos permiten validar las extensiones, comparar los reportes de diferentes antivirus y analizar los programas internos en los documentos, eso sí, cuidando la privacidad.
Para validar la extensión, la herramienta que recomendamos se llama CheckFileType, con la cual pueden confirmar el tipo de archivo que está analizando. Para la prueba usaremos un adjunto que dice ser una hoja de cálculo hecha en Excel.
Tras el análisis de la herramienta podemos ver que en realidad no es una hoja de cálculo, sino que es un archivo de texto, hecho en Word.
Para validar el riesgo asociado al archivo, empleamos VirusTotal y así tenemos el reporte de varios sistemas de detección de programas maliciosos.
Revisamos el mismo archivo que pasamos a validar la extensión, donde encontramos que cerca del 60% de los analizadores lo detectan como malicioso. Este procedimiento no lo recomendamos para archivos con información sensible o personal, pues el servicio se queda con una copia del documento, lo que puede generar fugas de información.
Los archivos generados en MS Office y los archivos PDF, permiten a los atacantes embeber programas, llamados macros y JavaScript respectivamente. Por lo cual son muy utilizados para acceder o extraer información en los computadores. Por este motivo crearon una herramienta en línea que permite hacer el análisis de estos programas cuidando la privacidad de la información contenida en los documentos.
Esta herramienta se llama Diario, para simplificar el proceso se puede integrar al correo electrónico de Outlook, pero es posible usarlo en línea como mostraremos a continuación con el mismo archivo que hemos usado.
Tras analizar el archivo, el sistema nos da un reporte simple que nos indica la presencia de componentes maliciosos dentro de los programas embebidos en los documentos.
Los usuarios deben cambiar la percepción de ser el eslabón más débil en la cadena de ciberseguridad, y pasar a ser la primera barrera de protección contra la información de la empresa y también personal. Sin embargo, para esto sus rutinas y comportamientos deben cambia con el objetivo de hacer que a los delincuentes les sea más difícil manipularlos u orientar su comportamiento hacia acciones que pongan en riesgo la información.
Estas herramientas y análisis se deberían ejecutar a todos los mensajes que reciben, sin importar si son desde correo electrónico o en mensajería instantánea o mensajes de texto. En cualquier caso, estos pasos reducen la posibilidad de verse involucrados en un incidente cibernético.
Foto de Chris Yang en Unsplash
The post Costumbres que debes adquirir para evitar ‘ser pescado’ por el phishing appeared first on Think Big.