Noticias

Spear Phishing

spear phishing

Spear phishing es un correo electrónico dirigido a un individuo o departamento específico dentro de una organización que parece provenir de una fuente confiable. En realidad, son ciberdelincuentes que intentan robar información confidencial.

¿Cómo está hecho?

Quizás se pregunte qué se necesita para enviar este tipo de ataque. Esto no es trivial y solo puede hacerlo alguien capacitado en técnicas avanzadas de piratería. Primero veremos los pasos necesarios para enviar un ataque y luego veremos los pasos para mitigar esta amenaza. Para los pasos de ataque (simplificados), tomamos prestado libremente una excelente publicación de blog de Brandon McCann, un conocido pentester.  Intentaremos mantener esto lo menos técnico posible, pero habrá algunos términos que quizás deba buscar. Estos son los 6 pasos:

1. Identificar direcciones de correo electrónico

Hay dos formas en que los piratas informáticos envían campañas de phishing : la primera es ‘rociar y rezar’, que es un enfoque de escopeta. Obtenga tantas direcciones de correo electrónico de la organización como sea posible y envíeles un correo electrónico en el que puedan hacer clic. El segundo enfoque es decidir qué datos busca, luego averiguar quién tiene acceso a esos datos y dirigirse específicamente a esas personas . Ese es el enfoque de spear phishing y, por ejemplo, LinkedIn es extremadamente útil durante este paso de orientación.   

Hay varias formas de obtener las direcciones de correo electrónico de una organización. El favorito de los ciberdelincuentes es el uso de secuencias de comandos para recopilar direcciones de correo electrónico de los grandes motores de búsqueda. Se sorprendería de cuántos correos electrónicos se pueden capturar de esta manera y qué tan grande es la superficie de ataque de spear phishing de una organización determinada . Una vez que tienen las direcciones de correo electrónico de las pocas personas a las que se dirigen, van al paso dos.

2. Evasión de antivirus

Para que un ataque llegue a la bandeja de entrada de un objetivo, el correo electrónico debe superar el software antivirus que utiliza el objetivo. Una búsqueda rápida en los sitios de trabajo de TI para puestos abiertos de administrador de sistemas en la organización objetivo proporciona una cantidad asombrosa de información. A menudo enumerarán exactamente qué antivirus y qué versión utilizan. De lo contrario, la indagación en el caché de DNS e incluso las redes sociales brindan muchas otras formas de averiguarlo. Una vez que se conoce el AV, se instala en un banco de pruebas para asegurarse de que el correo electrónico llegue bien. Metasploit  puede ayudar con esto, es un proyecto de seguridad informática de código abierto que proporciona información sobre vulnerabilidades de seguridad y ayuda en las pruebas de penetración.

 

3. Filtrado de salida

Los piratas informáticos no pueden sacar la información de la organización que están atacando a menos que la carga enviada con el ataque permita que el tráfico salga de la organización. Una carga útil popular se llama ‘reverse_https’ porque crea un túnel encriptado de regreso al servidor de metasploit, lo que hace que sea muy difícil para el software de seguridad, como la detección de intrusos o los firewalls, detectar cualquier cosa. Para esos productos, la salida de los datos de phishing parece un tráfico https normal.

4. Escenario de Spear Phishing

Ya hay muchos artículos escritos sobre esto, y es la esencia de los usuarios de ingeniería social . Si no han recibido una formación de concienciación sobre seguridad de alta calidad , son objetivos fáciles para los phishers selectivos. El atacante investiga a sus objetivos, descubre con quién se comunica regularmente y envía un correo electrónico personalizado al objetivo que utiliza una o más de las 22 banderas rojas de ingeniería social para hacer que el objetivo haga clic en un enlace o abra un archivo adjunto. Solo imagina que recibes un correo electrónico de la dirección de correo electrónico de tu pareja que tiene en la línea de asunto: Cariño, tuve un pequeño accidente con el auto y en el cuerpo: Tomé algunas fotos con mi teléfono inteligente, ¿crees que esto va a ser muy caro?       

5. Enviar los correos electrónicos

Una opción es generar un servidor de correo temporal y explotarlo, pero ese servidor de correo no tendrá una puntuación de reputación que bloqueará la entrada de una gran cantidad de correo electrónico. Una mejor solución es ir a GoDaddy, comprar un nombre de dominio válido, usar el servidor de correo electrónico gratuito que viene con el dominio y configurarlo, para que GoDaddy cree automáticamente un registro MX. También es fácil cambiar la información Whois de GoDaddy para que coincida con cualquier dominio específico. Todo eso facilita el paso del correo, que se puede enviar con cualquier cliente de correo electrónico, o con un script.

6. Cosechando tesoro

Supongamos que un objetivo hizo clic en el enlace y los ciberdelincuentes pudieron colocar un registrador de teclas en su máquina. Ahora es cuestión de esperar la ráfaga horaria de datos del teclado de regreso a su servidor y monitorear las credenciales que buscan. Una vez que los tienen, se trata de ingresar a la estación de trabajo, obtener todos los hash de contraseñas de la red, descifrarlos y obtener acceso de administrador a toda la red.

¿Sabía que el 91 % de las filtraciones de datos exitosas comenzaron con un ataque de phishing selectivo?

¡Contáctanos, podemos ayudarte en tener una Transformación Digital SEGURA!










*Campos obligatorios

Noticias

Conozca las últimas novedades de DyNet y
el mundo de las TI.

BORRAR

Borrar vs Eliminar: ¿Sus archivos «eliminados» realmente se han ido?

| Artículos, Ciberseguridad | No Comments
Borrar vs Eliminar: ¿Sus archivos "eliminados" realmente se han ido? Si bien existe una multitud de métodos de destrucción de datos, muchos de ellos contienen lagunas que hacen que los…
ZTNA

ZTNA VS VPN: LA MEJOR OPCIÓN DE ACCESO REMOTO SEGURO

| Artículos, Ciberseguridad | No Comments
ZTNA VS VPN: LA MEJOR OPCIÓN DE ACCESO REMOTO SEGURO Las redes privadas virtuales (VPN) han pasado de ser un habilitador de negocios a una amenaza de seguridad de acceso…

DyNet - Dynamic Networks

Sigue a Dynet- Dynamic Networks para estar al tanto de la noticias, articulos y empleos

 

 

Seguir

Eventos/
Webinars

Sé parte de nuestros eventos, tenemos la respuesta a tus necesidades de Seguridad de Información y Conectividad.







*Campos obligatorios

¿Estas interesado en este producto?







*Campos obligatorios

¿Estas interesado en este producto?







*Campos obligatorios

¿Estas interesado en este producto?







*Campos obligatorios

¿Estas interesado en este producto?







*Campos obligatorios

¿Estas interesado en este producto?







*Campos obligatorios

¿Estas interesado en este producto?







*Campos obligatorios

¿Estas interesado en este producto?







*Campos obligatorios