Para todos los que formamos parte de Alyne, esto significa permanecer alerta y asegurarnos de que somos conscientes de estos intentos. Una forma de mantener un alto nivel de concienciación es hacer públicos los intentos de phishing fallidos, para que otros puedan ver cómo son estos ataques y evitarlos de forma segura en el futuro.
Me gustaría mostrar algunos de los intentos realizados durante los últimos meses en la siguiente publicación.
Métodos
En esta publicación solo analizo los intentos de phishing a través del correo electrónico. Aunque el punto final de nuestra aplicación está, por supuesto, expuesto a Internet y, por lo tanto, sujeto a muchos ataques, la arquitectura de seguridad, especialmente nuestra CDN y la superficie de ataque minimizada, evitan que esto sea un problema.
- Enlaces de phishing
Los intentos más básicos tratan de conseguir que el usuario haga clic en un enlace que está más o menos bien disimulado. - Enlaces a servicios en la nube
Uno de los métodos que más me preocupa es el uso de servicios en la nube —que una organización podría estar utilizando— para enviar correos electrónicos fraudulentos. - Ingeniería social pura
El enfoque clásico de la ingeniería social consiste en hacerse pasar por un miembro de la organización para iniciar una línea de comunicación con el fin de persuadir a alguien para que realice algún tipo de acción que, sin saberlo, podría proporcionar un acceso inadecuado a un atacante. - Compartir documentos reales en servicios en la nube
Un nuevo enfoque que consiste en invitar a los usuarios a colaborar en un documento de un servicio en la nube (por ejemplo, OneDrive), donde el documento contiene un enlace a una fuente maliciosa.
Objetivos
Obviamente, es posible que no conozcamos los objetivos exactos de cada ataque, pero dado que estos ataques se realizan en su mayoría a gran escala, podemos hacernos una idea general de las motivaciones que hay detrás de estas iniciativas.
- Equivalentes de efectivo
El ataque más directo es el que se realiza con el fin de obtener equivalentes de efectivo. Realizamos un intento para ver a dónde conduciría el ataque. En este caso, el atacante/estafador se hacía pasar por el director ejecutivo e intentaba que un nuevo empleado comprara crédito de Google Play y le enviara los códigos de recuperación por correo electrónico. - Instalación de malware
Aquí es donde se originan los ataques tradicionales: intentando instalar código malicioso en la máquina atacada para obtener acceso no autorizado al sistema. El malware ha evolucionado con el tiempo, siendo el ransomware el tipo más prevalente, especialmente para este enfoque de ataque más amplio. - Estafas de información
Algunos de los ataques tienen claramente el objetivo de obtener información sobre la víctima con fines de ingeniería social. El objetivo final de esto puede seguir siendo obtener equivalentes en efectivo o instalar malware o cualquier otro tipo de acceso inapropiado.
Ejemplos
En este punto, me gustaría compartir algunos de los ataques semi-dirigidos que hemos documentado en los últimos meses:
- Suplantación de identidad del director ejecutivo
Uno de nuestros nuevos miembros del equipo, Alex, recibió este correo electrónico, aparentemente enviado por mí. La suplantación de identidad era tan burda que, al hacer clic en el remitente del correo electrónico, se revelaba que el remitente real no era, desde luego, mi dirección de correo electrónico.
- Informes de gastos falsos o cálculos de pagos de bonificaciones
Curiosamente, en este ejemplo había un archivo compartido con mi usuario a través de OneDrive. Aunque nadie abrió el archivo en Alyne, imagino que habrá algún tipo de enlace o contenido malicioso incluido en el archivo. El señuelo es, sin duda, enviar algo tan «emocionante» como pagos de bonificaciones para que la gente haga clic rápidamente y lo vea.
- Notificaciones falsas de mensajes de voz
Una vez más, se trata de un intento de enviar algo con lo que la gente querrá interactuar urgentemente, como un mensaje de voz perdido. Algunos usuarios pueden suponer que se trata de un nuevo sistema que no sabían que se había implementado y hacer clic en el enlace. Cabe destacar la personalización del mensaje para «Alyne».
- Solicitud de cambio de cuenta bancaria
El siguiente ejemplo es bastante específico, ya que los atacantes identificaron a una empleada y a nuestra directora de RR. HH., Myri, e intentaron cambiar la cuenta salarial en RR. HH. Myri utilizaba Apple Mail y, aunque la dirección de correo electrónico era claramente falsa, Apple Mail mostraba el avatar de Jasjeet.
- Estafa de Docusign
Como muchas empresas hoy en día, utilizamos Docusign para firmar nuestros documentos. Recibo bastantes solicitudes de firma, a veces de nuestro jefe del departamento jurídico, pero también de nuestros clientes. Si no se tiene mucho cuidado, este correo electrónico puede llegar a engañar.
- Inicio de sesión en VPN
No es un correo electrónico muy sofisticado, pero sí muy actual. Ahora que mucha gente trabaja desde casa utilizando una VPN, quizá el acceso a una «nueva» VPN sea algo que les impulse a hacer clic en este enlace.
- Detalles de contacto Phishing
Otro ejemplo en el que los atacantes identificaron a Faris como uno de nuestros empleados y el atacado intentó suplantar mi identidad para obtener la información de contacto de Faris. Como se puede ver, Faris recibió una advertencia bastante obvia.
Evaluación
¿Qué podemos aprender de estos ejemplos? Por suerte, estos ataques no eran muy sofisticados y fueron fáciles de detectar. El enfoque o la naturaleza específica de los ataques fue un poco sorprendente, dado que no somos una organización muy grande. No creo que toda esta información pueda recopilarse de forma 100 % automatizada, sino que requiere cierta configuración manual para su ejecución. Un patrón muy claro era también el de dirigirse a los nuevos empleados, que quizá no sean capaces de distinguir entre los sistemas reales que utilizamos y los ataques de phishing falsos. Por lo general, estos ataques están diseñados para funcionar en grandes cantidades con una baja tasa de éxito, pero el esfuerzo que supone configurarlos parece ser lo suficientemente bajo como para que siga mereciendo la pena. El uso de herramientas SaaS comunes (Docusign, Box, etc.) como vector de estafa muestra cómo están evolucionando estos ataques. Probablemente, la medida más inteligente fue utilizar servicios de archivos en la nube para compartir archivos con contenido malicioso (por ejemplo, OneDrive). Esto garantiza casi con total seguridad que el correo electrónico se entregue a la víctima y pase por los filtros de spam y malware sin ser detectado.
Mitigaciones
La medida más eficaz sigue siendo la concienciación dentro del equipo. Lo tratamos regularmente en las reuniones generales, en nuestros canales de comunicación y durante la incorporación de nuevos empleados. Es fundamental que las personas sean conscientes de las amenazas del phishing.
En Alyne utilizamos Google for Work y el servicio de correo electrónico asociado. Si comparas la interfaz del ejemplo «Cambio de cuenta bancaria» con la del ejemplo «Phishing de datos de contacto», queda claro que el uso de la interfaz de Google Mail ofrece algunas ventajas significativas en materia de seguridad.
Por último, rogamos a todos nuestros empleados que siempre realicen una segunda confirmación por otro canal si existe la más mínima duda. Nuestra plataforma de comunicación principal es Slack. Les digo a los empleados que nunca les pediré que hagan nada por correo electrónico. Si alguna vez lo hago, siempre deben confirmarlo por un segundo canal (teléfono, Slack, en persona).
