Tipos de mensajes de phishing que pueden engañar a su correo electrónico

Casi no hay ninguna forma de ciberdelincuencia que esté a la altura del phishing en términos de prevalencia e impacto global. Está al frente y al centro de las campañas maliciosas destinadas a obtener los datos de autenticación de los usuarios, estafar dinero a las organizaciones o propagar virus informáticos a través de correos electrónicos traicioneros.

Los hallazgos recientes de los analistas de seguridad muestran el panorama general. Se detectaron más de 165 772 nuevos sitios de phishing en el primer trimestre de 2020. El FBI dice que el compromiso de correo electrónico comercial (BEC) es un tipo de phishing en aumento que se centra en la empresa. Esto hace que las empresas pierdan alrededor de $ 5 mil millones en transferencias bancarias fraudulentas anualmente.

Los ciberdelincuentes están aumentando su género

Estas estadísticas alucinantes demuestran la amplitud y profundidad del flagelo. Como era de esperar, numerosas empresas de seguridad y proveedores de correo electrónico están brindando soluciones que evitan que los mensajes fraudulentos terminen en las bandejas de entrada de los usuarios. Las defensas cada vez más eficaces alientan a los operadores de campañas de phishing a idear nuevos métodos para eludir los filtros tradicionales.

Eludir los filtros de correo electrónico se ha vuelto tan importante para los delincuentes como adaptar los mensajes maliciosos cuya narrativa mueve los hilos correctos en la conciencia de los destinatarios. Las siguientes técnicas han mejorado recientemente el repertorio de los operadores de phishing para que sus correos electrónicos no levanten banderas rojas y lleguen a su destino a pesar de las principales contramedidas.

Recomendado para ti: ¿Cuál es el Rol de la Inteligencia Artificial (IA) en la Ciberseguridad?

Credenciales de Office 365 recolectadas a través de Google Cloud Services

Los ciberdelincuentes alojan cada vez más archivos señuelo y páginas de phishing en servicios en la nube populares. Esta táctica agrega una capa adicional de confiabilidad y ofuscación a una estafa, lo que hace que sea un gran desafío para los usuarios preocupados por la seguridad y los sistemas de protección para detectarla.

Una campaña descubierta recientemente por investigadores de la firma de seguridad cibernética Check Point demuestra cuán evasivo puede ser este tipo de fraude. Su elemento atractivo es un documento PDF subido a Google Drive. Se afirma que este archivo compartido contiene información comercial importante. Sin embargo, para verlo, se supone que la víctima debe hacer clic en el botón "Acceder al documento", que conduce a una página de inicio de sesión que solicita los detalles de autenticación de Office 365 o una identificación de la organización. Independientemente de la opción seleccionada, aparece una pantalla emergente que solicita la información de inicio de sesión de Outlook del usuario.

Tan pronto como se ingresan la dirección de correo electrónico y la contraseña, la víctima finalmente puede ver el archivo PDF. Es un informe de marketing legítimo emitido por una conocida empresa de consultoría en 2020. Además, las páginas que aparecen en las diferentes fases de este ataque están alojadas en Google Cloud Storage, por lo que apenas hay pistas que sugieran que algo claramente maligno está sucediendo. .

Mientras tanto, un escollo grave eclipsado por la aparente legitimidad de esta estratagema es que los delincuentes obtienen las credenciales válidas de Office 365 de la víctima en el camino. Cuando está en las manos equivocadas, esta información puede convertirse en una plataforma de lanzamiento para estafas BEC efectivas, espionaje industrial y propagación de malware.

Correos electrónicos engañosos que pretenden provenir de bancos confiables

En un movimiento reciente, los estafadores han estado generando mensajes falsos que se hacen pasar por instituciones financieras populares como Citigroup o Bank of America. El correo electrónico le indica al usuario que actualice los detalles de su dirección de correo electrónico haciendo clic en un hipervínculo que conduce a una réplica del sitio web del banco. Para que el engaño parezca real, los delincuentes usan una página adicional que solicita la pregunta de seguridad del destinatario.

Una de las inconsistencias adversas es que el correo electrónico pasa desapercibido para la mayoría de los filtros, aunque se envía desde una dirección @yahoo.com. La razón es que los malhechores solo se dirigen a unos pocos empleados de una empresa. Debido a que las soluciones antiphishing comunes están ajustadas para una gran cantidad de mensajes similares o idénticos, es posible que pasen por alto varios correos electrónicos sospechosos.

Otro problema es que el mensaje se origina en una cuenta de correo electrónico personal. Este hecho dificulta la detección porque las herramientas de verificación convencionales, como la autenticación, informes y conformidad de mensajes basados ​​en el dominio (DMARC), así como el marco de políticas del remitente (SPF), solo identifican los correos electrónicos que falsifican el dominio de origen.

Para colmo, la página de phishing de credenciales que imita el sitio web oficial del banco pasa todos los controles con gran éxito. Esto se debe a que se registró recientemente y, por lo tanto, aún no se ha incluido en la lista negra. También utiliza un certificado SSL válido. El enlace de phishing redirige a los usuarios a través de un servicio de búsqueda legítimo de Yahoo. Todas estas peculiaridades, combinadas con un poco de presión impuesta en el texto, aumentan la tasa de éxito de esta campaña.

Descomprimir un archivo adjunto e infectarse

Algunos actores de amenazas ocultan un archivo adjunto dañino en un archivo falso para frustrar la detección. Normalmente, un archivo ZIP viene con un parámetro de "Fin del directorio central" (EOCD). Apunta al elemento final de la estructura del archivo. Lo que hacen los ciberdelincuentes es usar un objeto ZIP con un valor EOCD adicional dentro. Significa que el archivo incluye un árbol de archivo ofuscado.

Cuando se procesa con herramientas de descompresión que constituyen Secure Email Gateways (SEG), el archivo adjunto ZIP parece benigno porque su componente de "pista falsa" suele ser el único que se analiza. Como consecuencia de este engaño, el archivo extraído ejecuta sigilosamente un troyano bancario en la máquina del destinatario.

Perdido en la traducción

Otra estratagema común es engañar a los filtros de correo electrónico incrustando texto en un idioma extranjero. Algunas defensas están configuradas para escanear mensajes entrantes en busca de materiales dudosos solo en inglés o en el idioma nativo del usuario.

Con eso en mente, los delincuentes pueden crear correos electrónicos de phishing en ruso e incluir un consejo que diga: "Use el traductor de Google". Como resultado, el mensaje llega a la bandeja de entrada y la víctima puede engancharse después de leer el texto traducido.

Te puede interesar: 17 consejos geniales para redactar una política de seguridad cibernética que no apeste.

Modificar el código HTML de un correo electrónico

Otra forma de que un mensaje de phishing pase por alto los sistemas de protección es invertir las cadenas de texto en su código HTML y luego mostrar la información hacia adelante para que parezca perfectamente normal para el destinatario. Dado que el contenido del código fuente tergiversado no se superpone con ninguna plantilla de phishing conocida, lo más probable es que los SEG ignoren el mensaje.

Una imitación muy insidiosa de esta técnica gira en torno a las hojas de estilo en cascada (CSS), un instrumento que se utiliza para complementar los documentos web con componentes de estilo, como el tamaño y el color de la fuente, el color de fondo y el espaciado. El juego sucio se reduce al mal manejo de CSS para fusionar scripts latinos y árabes en el código HTML sin procesar. Estas secuencias de comandos fluyen en direcciones opuestas, lo que facilita que los delincuentes logren el efecto de inversión de texto mencionado anteriormente. Como resultado, el mensaje engaña a las defensas sin dejar de ser legible por humanos.

Abusar de cuentas de SharePoint pirateadas

Algunas pandillas de phishing aprovechan las cuentas de SharePoint comprometidas para poner en marcha sus estafas. La lógica perversa depende del hecho de que los SEG confían en los dominios asociados con la plataforma colaborativa acreditada de Microsoft. El enlace en el cuerpo del correo electrónico conduce a un sitio de SharePoint. Entonces, los sistemas de seguridad lo tratan como benigno e ignoran el mensaje.

El problema es que los delincuentes reutilizan la página de destino para mostrar un documento dudoso de OneNote. Esto, a su vez, redirige a una página de phishing de credenciales camuflada como formulario de inicio de sesión de OneDrive para empresas. Los detalles de autenticación que ingresa el usuario desprevenido se envían instantáneamente al servidor de los ladrones.

Impulse su conocimiento sobre el phishing para mantenerse a salvo

Los filtros de correo electrónico sin duda valen la pena. Eliminan la mayor parte de los mensajes incompletos enviados a su bandeja de entrada. Sin embargo, la lección que debe aprender de los ataques del mundo real descritos anteriormente es que confiar incondicionalmente en estos sistemas es un negocio arriesgado.

“Debe hacer su tarea y seguir algunos consejos adicionales para mejorar su higiene personal contra el phishing”. – en una entrevista reciente como lo mencionó Andrew Gitt, especialista senior en tecnología, cofundador y jefe de investigación de VPNBrains.

Andrew también proporciona las siguientes recomendaciones en su entrevista:

• Abstenerse de hacer clic en los enlaces que llegan en los correos electrónicos.
• No abra archivos adjuntos recibidos de extraños.
• Antes de escribir su nombre de usuario y contraseña en una página de inicio de sesión, asegúrese de que sea HTTPS versus HTTP.
• Si un correo electrónico parece legítimo y decide correr el riesgo de hacer clic en un enlace incrustado, verifique primero la URL en busca de errores tipográficos y otros obsequios.
• Lea atentamente los correos electrónicos entrantes y revise el texto en busca de errores ortográficos, gramaticales y de puntuación. Si nota tales errores, lo más probable es que el mensaje sea una estafa.
• Ignora y desecha los correos electrónicos que te presionan para que hagas algo. Por ejemplo, los phishers a menudo imponen algún tipo de fecha límite para que la gente se equivoque. No caigas en tales trucos.
• Tenga cuidado con los correos electrónicos cuyo contenido se desvía de la norma en términos de sus tareas laborales diarias.
• Si recibe un mensaje de un gerente sénior solicitando una transferencia bancaria, verifíquelo dos veces comunicándose con la persona por teléfono o en persona. Lo más probable es que esté tratando con un impostor que se apoderó de la cuenta de correo electrónico del colega.
• Cuida la información que compartes en las redes sociales. Los actores maliciosos son expertos en realizar inteligencia de código abierto (OSINT), por lo que pueden volver sus datos personales disponibles públicamente en su contra.
• Si usted es un ejecutivo, asegúrese de establecer un programa de capacitación de concientización sobre el phishing para sus empleados.
• Habilite un firewall e instale un software de seguridad en línea eficaz con una función antiphishing integrada.

También te puede interesar: ¿ Cómo proteger tu PC de ataques cibernéticos, rastreo y malware?

Ultimas palabras

Cada vez que los sombreros blancos presentan un nuevo mecanismo de prevención, los ciberdelincuentes hacen todo lo posible para burlarlos. Una tendencia de seguridad emergente y muy prometedora en este sentido es emplear inteligencia artificial y aprendizaje automático para identificar intentos de phishing. Con suerte, este enfoque mantendrá las defensas un paso por delante de los vectores de ataque, sin importar cuán sofisticados sean.

Por ahora, lo mejor que puede hacer es mantenerse alerta y aprovechar al máximo las herramientas antiphishing tradicionales que funcionan de maravilla en la mayoría de los casos.