Trucos comunes del spear-phishing

A fin de prepararse para los ataques dirigidos a tu empresa, los agentes de seguridad de la información necesitan estar al tanto de correos electrónicos de spear-phishing que se reciban.

Prácticamente casi todos los empleados de una empresa grande se encuentran con el ocasional correo electrónico que busca robar sus credenciales corporativas. Comúnmente se presenta en forma de phishing masivo, un ataque en donde los correos electrónicos se envían de manera aleatoria con la esperanza de que al menos algunos destinatarios muerdan el anzuelo. Sin embargo, entre este mar de correos de phishing se podrían esconder uno o dos mensajes dirigidos más peligrosos, cuyo contenido fue personalizado para los empleados de empresas específicas. A esto se le llama spear-phishing.

Los mensajes de spear-phishing representan una señal claro de que los cibercriminales están interesados en tu empresa, específicamente, y podría no ser el único ataque en marcha. Por este gran motivo, los agentes de seguridad de la información necesitan saber si cualquier empleado ha recibido un correo de spear-phishing; necesitan preparar la defensa y alertar al personal a tiempo.

Por este motivo, aconsejamos al departamento de TI que revisen los correos filtrados de manera periódica en busca de spear-phishing, y que eduquen al resto de los empleados sobre cómo detectar las señales del phishing dirigido. A continuación encontrarás algunos de los trucos más comunes, con ejemplos de algunas campañas recientes de spear-phishing.

Nombre de la empresa mal escrito

El cerebro humano no siempre percibe la palabra entera escrita; observa un inicio conocido y completa el resto por sí mismo. Los atacantes pueden aprovecharse de esta característica al registrar un dominio que difiere del de tu empresa en solo una o dos letras.

Los cibercriminales propietarios del dominio pueden incluso configurar una firma DKIM para que el correo electrónico pase todas las verificaciones, después de todo, es su dominio.

Firma DKIM valida en un correo electrónico de spear-phishing

Palabras adicionales en el nombre de la empresa

Otra manera de engañar a los destinatarios para que piensen que es un colega quien les escribe es registrar un dominio de dos palabras, por ejemplo, para parecer un remitente de una sucursal local de un departamento específico. En este último caso, los cibercriminales tienden a hacerse pasar por personal de soporte técnico o seguridad de la información.

La palabra "Security" se añadió al nombre de la empresa

En la realidad, los empleados de cada departamento deben tener una dirección de correo electrónico corporativa estándar. Nadie nunca configura un dominio distinto para el personal de seguridad. En el caso de oficinas locales, si no estás seguro, revisa el dominio en el directorio corporativo.

Contenido específico

Un correo electrónico de phishing que mencione a tu empresa (o peor, al destinatario) por nombre es una señal clara de spear-phishing, y un motivo para activar la alarma.

Tema altamente especializado

Hablando estrictamente, ver estos nombres no siempre significa que un mensaje sea spear-phishing; podría ser una variación de una estafa de phishing masivo. Por ejemplo, los suplantadores de identidad podrían utilizar una base de datos de los participantes de una conferencia y jugar con el tema de la conferencia, esto es phishing masivo. Si intentan atacar a empleados de una empresa específica de la misma manera, sin embargo, eso es spear-phishing, y por lo tanto, seguridad necesita estar al tanto.

Finalmente, para poder buscar señales de spear-phishing potencial sin disminuir la seguridad real de la empresa, recomendamos instalar soluciones contra el phishing de protección en los servidores de correo y en las estaciones de trabajo de los empleados.

Consejos