«

»

Jul 09

Artículo: Detección y prevención del Phishing.

Artículo originalmente publicado en: https://ciberseguridad.blog/todo-sobre-la-deteccion-y-prevencion-del-phishing/

La palabra “phishing” es similar a “pescar” debido a la analogía de usar cebo para intentar atrapar a las víctimas y recolectar información confidencial

Por información confidencial nos referimos a cualquier cosa que abarque desde su número de seguro social hasta contraseñas, número de cuenta bancaria, detalles de la tarjeta de crédito, número PIN, domicilio, cuentas en redes sociales, cumpleaños, apellido de soltera de la madre, etc.

Con el fin de utilizar esta información para realizar daños financieros, robo de identidad, obtener acceso ilegal a diferentes cuentas, chantaje, y un largo , etc…

¿Cómo funciona el Phishing?

Los atacantes utilizan diferentes métodos de engaño en las estrategias de phishing.

Por ejemplo , crearán mensajes y sitios web falsos, que imitan a los originales. Y con ello, intentarán atraernos para que entreguemos nuestra información personal. Nos pedirán responder, seguir un enlace incluido en un mensaje o descargar un archivo adjunto.

En primera instancia, la comunicación parece ser iniciada por una persona o empresa legítima. Los famosos ataques de phishing imitan, por no decir copian a la perfección mensajes de instituciones financieras/bancos en su mayoria , pero no siempre, agencias gubernamentales , minoristas y servicios en línea ( Amazon, eBay, PayPal … ), redes sociales ( Facebook … ) o incluso de un amigo o colega.

Para que el phishing parezca original , los atacantes incluyen fotos e información del sitio web original. Incluso pueden redirigirlo al sitio web de la empresa y recopilar los datos a través de una ventana emergente falsa. O puede ocurrir al revés: primero solicitan los datos personales y luego nos redirigen al sitio web real, lo que en muchos casos , nos hace no percatarnos. Otras veces, nos dicen que hemos sido blanco de una estafa y que necesitamos actualizar nuestra información con urgencia para mantener nuestra cuenta segura.

Todos estos trucos ( Y son una parte diminuta ) minimizarán las posibilidades de que nos demos cuenta de lo que sucedió a la hora del engaño.

Phishing Agencia Tributaria Hacienda

El phishing se ha convertido en una forma de propagar malware. Los atacantes remiten contenido malicioso o C&C a través de los archivos adjuntos o enlaces en los que nos intentan engañarnos para que hagamos clic en ellos.

Aunque el phishing se transmite principalmente por correo electrónico, también puede funcionar a través de otros medios. En los últimos años, y ahora más que nunca por la activación de la PSD2,  los ciberdelincuentes se han centrado en los ataques de phishing realizados a través de servicios de mensajería instantánea, SMS, redes sociales, mensajes directos en juegos y muchos otros.

El phishing es popular entre los ciberatacantes porque es más fácil engañar a alguien para que haga clic en un enlace o descargue archivos adjuntos que intentar entrar en las defensas de su sistema. Esto consigue muy bien su cometido. He empezado a leerme/estudiar el CISM de ISACA, y en las primeras página ya nos indica, que nuestra seguridad, es tan frágil, como el eslabón más frágil de la cadena, y es hay donde el phishing ataca directamente.

Funciona porque apelan a las emociones. Promete grandes ofertas o alerta de que podemos tener un problema con nuestras cuentas bancarias, o peor aún , uno de los enlaces que os indique,que trata sobre los ERTEs , jugando con el sufrimiento de no disponer temporalmente de trabajo.

Pero no todo es emoción, también es muy efectivo porque más del 50% de los usuarios usan las mismas contraseñas para diferentes cuentas, por no decir que usan la misma para todo. Esto facilita que los ciberdelincuentes tengan acceso a facilmente al todos nuestros recursos una vez se hacen con las credenciales de una victima.

Prevenir el Phishing

Más alla de indicar los tipos de Phishing o similar, me gustaria centrarme en como prevenir y detectar el mismo, teniendo en cuenta el notable incremento de casos que estamos sufriendo debido a la situación de Pandemia con el COVID19 , en el que la gran mayoria de los trabajadores se encuentran trabajando desde casa (Si su puesto lo permite)

1. Detalles del emisor del email

Lo primero que debe verificar: la dirección de correo electrónico del remitente.

  • Mira el encabezado del correo electrónico. ¿La dirección de correo electrónico del remitente coincide con el nombre y el dominio?

La suplantación del nombre para mostrar de un correo electrónico, para que parezca ser de una marca o persona concreta, es una de las tácticas de phishing más básicas.

Un ejemplo: un correo electrónico de Amazon que proviene de “noreply@amazon.com” es legítimo. Pero un correo electrónico que parece ser de alguien en Amazon pero que se envió desde un dominio diferente, como el correo electrónico en la imagen a continuación, ciertamente no es de Amazon.

2. Contenido del mensaje

Primera Pista : Nos piden que enviemos o que verifiquemos la información personal por correo electrónico.

  • Nos están pidiendo información que el supuesto remitente ya debería tener.
Phishing Netflix Actualizar datos

Segunda Pista: Es probable que jueguen con nuestras emociones o urgencia. En este caso, que pasaria si en casa, ahora que estamos confinados nos quitasen nuestras suscripciones , Movistar+ , Disney+ , Netflix …

Como regla general, sospecha de cualquier correo que tenga solicitudes urgentes ( por ejemplo, “responda en dos días, de lo contrario perderá su cuenta” ), noticias, ofertas, ofertas de regalos o cupones emocionantes o perturbadores ( especialmente en días festivos o eventos importantes, como el black friday o  navidad ).

Tercera Pista: Afirman que hubo algún tipo de problema con nuestra compra o entrega reciente y nos piden que reenviemos información personal o simplemente hagamos clic en un enlace para resolverlo.

Los bancos o los representantes legítimos de comercio electrónico nunca nos pedirán que hagamos eso, ya que no es un método seguro para transmitir dicha información.

Cuarta Pista : Afirman ser de una agencia que aplica la normativa/ley.

Nunca usan el correo electrónico como forma de contacto.

Quinta Pista : Nos piden que llamemos a un número y demos nuestros datos personales por teléfono.

Si este es el caso, busque la correspondencia oficial de la compañía, buscalos en internet y usa el número de teléfono que nos proporcionen para verificarlo en caso de ser cierto.

3. Forma del mensaje / email

Primera regla: Ten cuidado con los enlaces falsos o engañosos.

Pasa el ratón sobre los enlaces en el mensaje de correo electrónico para verificarlos ANTES de hacer clic en ellos. Las URLs pueden parecer válidas a primera vista, pero usan una variación en la ortografía o en un dominio diferente (.co en lugar de .com, o similar). Gracias a los nuevos dominios genéricos de nivel de tema que se introdujeron en 2014, los spammers y los phishers obtuvieron nuevas herramientas para sus campañas. ( Un ejemplo, nuestro querido .blog 😉 )

Otras estafas de phishing usan JavaScript para colocar una imagen de una URL legítima sobre la barra de direcciones de un navegador. La URL revelada al pasar el mouse sobre un enlace también se puede cambiar con Java.

Segunda regla: Busca enlaces de direcciones IP o acortadores de URL.

Pueden coger una URL larga, acortarla utilizando servicios como bit.ly y redirigirla al destino deseado. Es difícil descubrir qué hay al otro lado de ese enlace, por lo que podríamos caer en una trampa. Siempre es mejor prevenir que curar.

En algunos casos tambien, nos encontramos con dominios distorsionados  deliberadamente en el correo electrónico, agregando espacios o caracteres adicionales, junto con instrucciones sobre cómo usarlo (“Elimine todos los caracteres / espacios adicionales y cópielos en la barra de direcciones”) con el fin de intentar dar de lado a los sistemas de seguridad.

La mejor opción, probar en un pequeño “sandbox” la url para ver cómo se veria , os recomiendo este.

Tercera Regla: Ten cuidado con los errores tipográficos o de ortografía. Esto solía ser la norma, pero ya no es un imperativo, cada vez prestan más atención en esto ( Salvo en las herencias de Ganha 😉 )

Cuarta Regla: Ten cuidado con los diseños de “aspecto aficionado”. Y aclaro un poco más, imágenes que no coinciden con el fondo o se ven formateadas para adaptarse al estilo del correo electrónico. Imagenes de almacenes de fotografías. Fotos o logotipos subidos y de baja resolución o mala calidad …

Quinta Regla: Cuidado con las firmas que faltan. La falta de detalles sobre el remitente o cómo comunicarse con la empresa apunta a una dirección de phishing. Una empresa legítima siempre proporcionará dicha información sin dudarlo.

4. Ficheros adjuntos

Estate atento a los archivos adjuntos.

En los Phishing se suelen adjuntar “todo tipo de archivos”, como PDFs o DOCs, que contienen enlaces o macros, ya nos hablo de esto el gran Rafa.Pedrero con Emotet y su vector de inicio . Otras veces, pueden hacer que nuestro navegador se bloquee al instalar malware … infinitud de casuristicas cambiantes con el tiempo, pero que siempre suelen iniciar con un fichero adjunto.

5. Enlaces externos

Supongamos que ya hemos pinchado en un enlace de un correo electrónico sospechoso. ¿ Es correcto el dominio ? No olvides que el enlace puede parecer idéntico, pero puede usar una variación en la ortografía o el dominio.

Antes de enviar cualquier información a ese sitio web, asegúrate de estar conectado a un sitio web seguro. Puedes verificarlo fácilmente mirando el enlace: ¿comienza con “https” o “http”? La “s” adicional significará que el sitio web tiene SSL. SSL es la abreviatura de Secure Sockets Layer y es un método para garantizar que los datos enviados y recibidos estén encriptados. Los sitios web más legítimos y seguros tendrán un certificado SSL válido instalado. Aunque esta norma, esta perdiendo mucha fuerza con el tiempo. Hace un tiempo, disponer de un certificado, suponía un desembolso de dinero que no todo el mundo podía realizar, pero ya vemos cómo el malware y el phishing esta empezando a usa protocolos seguros.

Otra forma de verificar eso es mirar a la izquierda de la dirección web: ¿hay un ícono de un candado cerrado? ¿O la dirección está resaltada en verde? Esto indicará que estamos visitando un sitio encriptado y que los datos transferidos están seguros. Google Chrome ya marcarca los sitios sin https como inseguros, por lo que debería ser fácil detectarlos.

Marca web con HTTPS

Tus empleados son tu última línea de defensa

Las organizaciones pueden mitigar el riesgo de suplantación de identidad ( phishing ) con medios tecnológicos, como filtros de spam, pero estos han demostrado ser poco confiables , o al menos antes pasaba con tecnologías pocas maduras ( Os recomiendo ver este post )

Los correos electrónicos maliciosos siempre se enviarán de forma regular, y cuando eso suceda, lo único que evitará que nuestra organización sufra una violación es la capacidad de nuestros empleados para detectar la naturaleza fraudulenta y responder de manera adecuada.

Los cursos de sensibilización del personal ante el phishing, ayuda a los empleados a hacer exactamente eso, así como a explicar qué sucede cuando las personas son víctimas y cómo pueden mitigar la amenaza de un ataque.

La única forma, de paliar los ataques de phising es concienciar al empleado. El resto de tecnologías nos ayuda a reducir muchisimo la recepción de estos, como si fuese un embudo, pero el punto final, es el empleado.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.
A %d blogueros les gusta esto: