Spear phishing: definición y 6 consejos de prevención

by | August 3, 2021 | Cómo

Spear Phishing

El spear phishing es un intento dirigido de robar información confidencial de una víctima específica, como credenciales de cuenta o información financiera, por motivos maliciosos.

Esto se logra al obtener información personal sobre la víctima, como sus conexiones, lugar de nacimiento, empleador, áreas frecuentadas y compras recientes por Internet.

Luego, los atacantes usan el correo electrónico u otras formas de chat en línea para hacerse pasar por un amigo o una entidad confiable para obtener información crítica. Este es el método más eficaz para obtener información confidencial en Internet y representa el 91% de todos los ataques.

¿Cómo funciona el spear phishing?

  • aunque el spear-phishing puede parecer un acto simple, los correos electrónicos de spear-phishing han avanzado en los últimos años y ahora son extremadamente difíciles de detectar sin un conocimiento previo de la seguridad del spear-phishing. Los atacantes que utilizan el spear phishing para dirigirse a personas que publican información personal en Internet se conocen como spear phishers. Mientras escanean un sitio de redes sociales, pueden mirar perfiles individuales.
  • podrán localizar la dirección de correo electrónico de una persona, la lista de amigos, la ubicación geográfica y cualquier publicación reciente en dispositivos nuevos mirando su perfil. Con toda esta información, el atacante puede hacerse pasar por un amigo o una entidad familiar y enviar a su objetivo un mensaje convincente pero falso.
  • un correo electrónico parece provenir de una fuente confiable, pero dirige al destinatario que no lo sabe a un sitio web fraudulento que contiene malware. Estos correos electrónicos emplean frecuentemente estrategias engañosas para captar la atención de sus destinatarios. El FBI, por ejemplo, ha advertido contra los esquemas de spear phishing que se hacen pasar por correos electrónicos del Centro Nacional para Niños Desaparecidos y Explotados.
  • estas comunicaciones suelen incluir explicaciones urgentes de por qué requieren información confidencial para aumentar las tasas de éxito. Se indica a las víctimas que abran un archivo adjunto malicioso o que hagan clic en un enlace a un sitio web falso donde se les solicita que envíen contraseñas, números de cuenta, PIN y códigos de acceso.
  • un atacante que se haga pasar por un amigo podría solicitar nombres de usuario y contraseñas para varios sitios web, como Facebook, para obtener acceso a las imágenes que se han compartido. En realidad, los atacantes utilizarán esa contraseña, o variaciones de la misma, para acceder a varios sitios web que contienen datos confidenciales, como números de tarjetas de crédito y números de la Seguridad Social.
  • los delincuentes pueden acceder a cuentas bancarias o incluso crear una nueva identidad utilizando los datos de su víctima si han obtenido suficiente información confidencial. Cuando los consumidores hacen clic en enlaces o abren archivos adjuntos que se ofrecen en las comunicaciones, el spear-phishing puede engañarlos para que descarguen malware o código destructivo.

Diferencia entre phishing y spear phishing

Las campañas de phishing regulares persiguen muchos objetivos generalmente de bajo rendimiento, mientras que el spear-phishing persigue objetivos específicos con correos electrónicos de diseño exclusivo.

Aaron Higbee, cofundador y CTO de la empresa antiphishing Cofense (o anteriormente conocida como PhishMe), dice que:

“El phishing es solo un ataque genérico, de baja tecnología, no dirigido. No les importa en particular quién es su objetivo. Simplemente están lanzando una amplia red tratando de atrapar a la mayor cantidad de personas y empresas como sea posible “.

Higbee también agregó que: “Spear phishing es una campaña que un actor de amenazas construyó a propósito para penetrar en una organización, y donde realmente investigará nombres y roles dentro de una empresa”.

Los ataques de spear phishing son más difíciles que las operaciones de phishing masivo, por lo general, incluyen el uso de kits automáticos listos para usar para obtener credenciales en masa mediante el uso de páginas de inicio de sesión falsas para servicios bancarios o de correo electrónico comunes o la difusión de ransomware o malware de cripto minería.

Algunas campañas dirigidas utilizan documentos que contienen malware o enlaces a sitios de robo de credenciales para robar información confidencial o propiedad intelectual valiosa o comprometer los sistemas de pago. Otros se saltan las cargas útiles maliciosas en lugar de confiar en la ingeniería social para controlar los procesos, lo que da como resultado una pequeña cantidad de recompensas significativas obtenidas a través de una o una serie de transferencias bancarias.

La sección “de” de un correo electrónico se falsifica con frecuencia para que parezca que proviene de una entidad conocida o de un dominio que parece similar al suyo o al de uno de sus socios de confianza. Por ejemplo, en el alfabeto ruso, la letra “o” puede sustituirse por el número “0” y la letra “w” puede sustituirse por “ø”.

Los delincuentes habían evolucionado sus enfoques desde los días en que las campañas de spear-phishing adjuntaban documentos dañinos a los correos electrónicos tal cual o en un archivo zip. En cambio, muchos documentos dañinos ahora se almacenan en sitios confiables como Box, Dropbox, OneDrive o Google Drive, según Higbee, porque los actores de amenazas saben que es poco probable que TI los detenga:

“We’re also starting to see phishing attacks that are trying to compromise API tokens or session tokens to get access to an email box or to get access to a OneDrive or SharePoint site.”

“También estamos empezando a ver ataques de phishing que intentan comprometer tokens de API o tokens de sesión para obtener acceso a un buzón de correo electrónico o para obtener acceso a un sitio de OneDrive o SharePoint”.

Consejos para evitar un ataque de spear-phishing

1. Esté atento a la información personal que comparte enInternet:

  • Eche un vistazo a sus perfiles de redes sociales. ¿Qué tipo de información personal es accesible para posibles atacantes? Si no desea que un posible estafador vea algo, no lo comparta o, como mínimo, asegúrese de que su configuración de privacidad esté configurada para limitar lo que otros puedan ver.

2. Utilice contraseñas inteligentes:

  • No use la misma contraseña o una combinación de contraseñas para todas sus cuentas. Si reutiliza contraseñas o variaciones de contraseña, un atacante puede acceder a todas sus cuentas si conoce una de sus contraseñas.
  • Cada contraseña que tenga debe ser única; las contraseñas más seguras contienen frases, números y letras al azar.

3. Actualice su software de forma regular:

  • Si su proveedor de software le informa que hay una nueva actualización disponible, instálela inmediatamente. La mayoría de los sistemas de software vienen con actualizaciones de software de seguridad que deberían protegerlo para evitar amenazas frecuentes. Habilite las actualizaciones automáticas de software siempre que sea posible.

4. No haga clic en los enlaces de los correos electrónicos:

  • Si una organización, como su banco, le proporciona un enlace, abra su navegador y vaya directamente al sitio web del banco en lugar de hacer clic en él.
  • Al pasar el cursor sobre un enlace, también se revelará su destino. Existe una buena posibilidad de que la URL sea maliciosa si no coincide con el texto de anclaje del enlace o el destino especificado del correo electrónico.

5. Utilice la lógica al abrir correos electrónicos:

  • Si recibe un correo electrónico de un “amigo” solicitando información personal, como su contraseña, verifique si la dirección de correo electrónico del remitente es una que haya visto antes. No recibirá un correo electrónico de una empresa legítima solicitando su cuenta o contraseña. Lo mejor que puede hacer es ponerse en contacto con ese “amigo” o empresa por teléfono o consultar el sitio web oficial de la empresa para determinar si fueron ellos los que se comunicaron con usted.

6. Implemente un programa de seguridad de datos en su empresa:

  • La pérdida de datos debido a ataques de spear-phishing se puede prevenir con un programa de protección de datos que combina la educación del usuario sobre las mejores prácticas de seguridad de datos con la adopción de una solución de protección de datos. El software de protección contra la pérdida de datos debe utilizarse para proteger los datos confidenciales en empresas medianas y grandes, incluso si un usuario cae en una estafa de phishing.

Conclusiones

Por supuesto, al final, el mejor método para prevenir estos ciberataques es capacitarlo a usted y a sus empleados sobre qué hacer cuando se enfrentan a tales ataques. De esa manera, garantiza una nueva capa de seguridad para su empresa, ¡evitando grandes ataques y violaciones de datos!

Fuentes:

by Andreea Popa

Content writer for Attack Simulator, delivering your daily dose of awareness for cyber security! Love to write passionately about any subject and my mainly inspiration are people's stories. You can also find me on social media, for some more friendly things!

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.