¿Qué es el phishing selectivo?

¿Cómo funcionan los ataques de phishing selectivo?

Un intento de phishing comienza como un correo electrónico, un mensaje de redes sociales, un mensaje de texto u otra comunicación que parece provenir de una fuente confiable. Los ciberdelincuentes utilizan información que conocen sobre su objetivo para hacer que el mensaje parezca auténtico, y luego piden al destinatario que realice alguna acción, como abrir un archivo adjunto, siguiendo un enlace malicioso de aspecto inofensivo.

Un correo electrónico podría copiar elementos visuales del banco de la víctima y pedirle que verifique una transacción o verifique una notificación importante. La víctima sigue un enlace en el correo electrónico que le lleva a un sitio web que aparenta y se percibe como el sitio real del banco, donde un mensaje solicita credenciales de inicio de sesión, confirmación de un número de tarjeta de crédito o seguridad social o algo similar.

Algunos actores de amenazas se hacen pasar por alguien que su objetivo conoce, como un amigo, un familiar o un colega. Un correo electrónico de un "amigo" podría pedirle al destinatario que mire un enlace divertido o descargue un archivo útil. Debido a que la víctima piensa que conoce al remitente, baja la guardia y es menos probable que note señales de advertencia o sospeche una estafa.

Tipos de phishing selectivo

Existe una larga lista de diferentes técnicas y tipos de estafas de phishing. Veamos algunas de las técnicas que se ven frecuentemente en las campañas de phishing selectivo:

• Phishing Angler: Los piratas informáticos se hacen pasar por representantes de la empresa para presentar quejas, hacer ofertas, etc. a través de las redes sociales (por ejemplo, Twitter o LinkedIn) o mensajes de texto (smishing). Si un representante de una empresa se pone en contacto con usted de esta forma, intente confirmar su identidad antes de interactuar.
• Compromiso del correo electrónico empresarial (BEC): Los atacantes obtienen acceso a una cuenta de correo electrónico empresarial o crean una cuenta similar y se hacen pasar por su propietario para enviar mensajes de phishing a los colegas o socios del propietario. Estos ataques suelen ir acompañados de fraudes electrónicos.
• Ataques de whaling: Los actores de amenazas apuntan a miembros de una organización que probablemente tengan acceso privilegiado, generalmente ejecutivos de alto nivel o funciones equivalentes. Estos tipos de ataques suelen ser los más sofisticados y bien planificados, lo que los hace aún más peligrosos.
• Fraude de CEO: Estrechamente relacionado con whaling, los atacantes utilizan esta modalidad de ataque BEC para hacerse pasar por el CEO o equivalente de una organización, creando un sentido de urgencia en los mensajes de estafa a los empleados.
• Phishing de clones: Los phishers envían correos electrónicos maliciosos que parecen provenir de remitentes en los que la víctima confía, como instituciones financieras o servicios comerciales. Este tipo de ataque a menudo también indica que los phishers selectivos tienen alguna manera de acceder a la cuenta de correo electrónico de la víctima.

Para conocer otras técnicas comunes de phishing, puede leer nuestro artículo complementario, ¿Qué es el phishing?

¿Cuáles son los objetivos del phishing selectivo?

Individuos

Los ataques de phishing pueden apuntar a cualquier persona. Los phishers pueden utilizar los datos personales de alguien, especialmente información confidencial, para que su ataque resulte más convincente. Las personas con funciones elevadas en sus organizaciones suelen correr un mayor riesgo, ya que a menudo son responsables de datos más sensibles.

Finanzas y seguros

El sector financiero y de seguros experimentó tanto el mayor número de intentos de phishing como el aumento más significativo de los ataques, con un aumento del 393 % en comparación con el año anterior. Este sector es un objetivo atractivo para los autores de amenazas que buscan el robo de identidad o el fraude financiero.

Empresas

Infiltrarse en el sistema de una empresa puede dar a los ciberdelincuentes acceso a enormes cantidades de información confidencial, y filtraciones de datos, especialmente en los sectores financiero y tecnológico, pueden costar a las empresas millones en recuperación, multas y la pérdida de confianza de los clientes. El cambio hacia la nube y el trabajo a distancia ha hecho que las empresas sean aún más vulnerables, ya que los entornos de TI distribuidos introducen muchos más vectores posibles de ataque.

(Fuente: Informe de phishing de ThreatLabz de 2023)

Cómo defenderse contra un ataque de phishing selectivo

Evitar que el phishing selectivo tenga éxito es cuestión de tomar las precauciones adecuadas. En términos de lo que eso significa a nivel organizacional, hay mucho que considerar.

Siga las mejores prácticas de prevención del phishing selectivo

Reduzca su riesgo general con soluciones de seguridad clave:

• Seguridad del correo electrónico: Proteja el vector de phishing más común con un servicio basado en la nube que inspecciona los correos electrónicos antes de que lleguen a su perímetro, con protección en tiempo real contra archivos adjuntos y enlaces maliciosos, así como contra la suplantación de nombres de dominio.
• Informes: Permita a los usuarios informar intentos de phishing, idealmente con un botón de informes integrado en su cliente de correo electrónico. Implemente un manual para investigar y responder a incidentes de phishing.
• Autenticación multifactor (MFA): Refuerce la seguridad con autenticación adicional. Aplicaciones como Okta Verify o Google Authenticator mejoran la defensa contra las tácticas MiTM que pueden interceptar mensajes SMS.
• Inspección de tráfico cifrado: más del 95 % de los ataques utilizan canales cifrados. Inspeccione todo el tráfico, cifrado o no, para evitar que los atacantes comprometan sus sistemas.
• Software antivirus: Los puntos finales deben protegerse con un antivirus actualizado periódicamente para identificar archivos maliciosos conocidos y evitar que se descarguen.
• Protección avanzada contra amenazas: Detenga el malware desconocido con un sandbox "espacio aislado" en línea que puede poner en cuarentena y analizar archivos sospechosos, y aislamiento del navegador para protegerse contra contenido web malicioso sin interrumpir a sus usuarios.
• Filtrado de URL: Limite su riesgo de phishing con un filtrado de URL que utiliza políticas para administrar el acceso a las categorías de contenido web más riesgosas, como los dominios recién registrados.
• Revisiones periódicas: Mantenga las aplicaciones, los sistemas operativos y las herramientas de seguridad actualizados con los parches más recientes para reducir las vulnerabilidades y garantizar que tiene las protecciones más recientes.
• Arquitectura de confianza cero: Aplique segmentación granular, acceso con privilegios mínimos y monitoreo continuo del tráfico para encontrar atacantes que puedan haber afectado su infraestructura.
• Feeds de información sobre amenazas: Obtenga un enriquecimiento automatizado del contexto en las URL reportadas; indicadores extraídos de compromiso (IOC); y tácticas, técnicas y procedimientos (TTP), para acelerar la detección y remediación.
• Siga protocolos de seguridad estrictos. Requiera contraseñas seguras, defina lo que los empleados pueden compartir en las redes sociales y asegúrese de que existan medidas correctivas eficaces. El software de seguridad moderno bloqueará muchos intentos de phishing antes de que lleguen a sus usuarios.

Aprenda cómo identificar un ataque de phishing selectivo

Como parte de la capacitación general sobre la seguridad, los usuarios de su organización deben aprender a detectar las señales de advertencia del phishing selectivo, tales como:

• Detalles pasados por alto: Los ciberdelincuentes pueden imitar direcciones URL, direcciones de correo electrónico, marcas de empresas, etc., pero los pequeños detalles los pueden delatar. Por ejemplo, un correo electrónico sospechoso puede parecer que procede de una organización confiable, pero proviene de una dirección de remitente desconocida, que no coincide o que tiene un formato incorrecto.
• Errores ortográficos: La mayoría de las comunicaciones profesionales, especialmente los mensajes entre empresas y clientes, se revisan antes de enviarse y la mayoría de los servicios de correo electrónico señalan automáticamente errores simples. Así, los mensajes que contienen muchos errores de este tipo, más probablemente sean de una fuente ilegítima.
• Lenguaje inusual: A veces, el lenguaje de un correo electrónico puede resultar sospechoso, incluso sin errores. Puede parecer desarticulado o de alguna manera extraño. Si un mensaje aparenta ser de alguien que conoce, pero el estilo de escritura no parece el de esa persona, es razonable sospechar que se trata de phishing.
• Solicitudes inusuales: Tenga cuidado con las solicitudes extrañas, especialmente con poca o ninguna explicación. Por ejemplo, un correo electrónico que finja ser de "su banco" podría pedirle que confirme su identidad realizando una transferencia bancaria a usted mismo. Si una solicitud parece sospechosa, considere si un remitente legítimo haría tal solicitud. De no ser así, puede ser phishing.
• Remitentes imitados con frecuencia: Los phishers siguen haciéndose pasar por marcas populares para engañar a los consumidores. La investigación de Zscaler ThreatLabz descubrió que Microsoft sigue siendo la marca más imitada, con un 43.1 % de los intentos de phishing dirigidos a ella. Las marcas OneDrive y SharePoint de Microsoft también se encuentran entre las cinco más atacadas, lo que indica una tendencia persistente de autores de amenazas que buscan credenciales de usuario de aplicaciones críticas de Microsoft.

Un ejemplo de un correo electrónico de phishing selectivo. Preste atención a la redacción inusual y a la forma de proporcionar detalles específicos.

¿Cómo aumentan las empresas el conocimiento que tiene el personal acerca del phishing?

Vale la pena mantener a todos los miembros de su organización al día sobre las amenazas y políticas de seguridad actuales. El phishing siempre se basa en abusar de la confianza humana, y basta con que una persona siga un enlace malicioso para que su entorno sea afectado.

Su programa de capacitación sobre concienciación en materia de seguridad debería educar a las personas sobre las ciberamenazas a las que podrían enfrentarse en su función, cómo identificar los correos electrónicos de phishing selectivo y otros ataques dirigidos, cómo y dónde denunciar el phishing, etc.

También puede ser necesario que contrate los servicios de especialistas en ciberseguridad. Las técnicas de ingeniería social siempre están evolucionando con las tendencias y las nuevas tecnologías, y puede resultar abrumador mantenerse al día. Si trabaja con expertos que conocen la empresa al detalle, tendrá toda la orientación y el apoyo que usted y su equipo necesitan.

¿Cómo puede ayudar Zscaler?

El engaño del usuario es uno de los problemas de seguridad más difíciles de superar porque para tener éxito, se basa en aprovecharse de la naturaleza humana. Al aprovecharse de las víctimas desde tan cerca, el phishing selectivo puede ser aún más peligroso, lo que causa violaciones rápidamente. Para minimizar el daño, es necesario implementar controles efectivos de prevención de phishing como parte de una estrategia zero trust más amplia.

La plataforma Zscaler Zero Trust Exchange™, basada en una arquitectura Zero Trust integral para minimizar la superficie de ataque y evitar el compromiso, ayuda a detener los ataques de phishing al:

• Evitar los ataques: Las funciones tales como la inspección TLS/SSL completa, el aislamiento del navegador y el control de acceso basado en políticas evita el acceso de sitios web maliciosos.
• Prevenir el movimiento lateral: Una vez en su sistema, el malware puede propagarse, causando aún más daño. Con Zero Trust Exchange, los usuarios se conectan directamente a las aplicaciones, no a su red, por lo que el malware no se puede propagar a partir de ellas.
• Detener las amenazas internas: Nuestra arquitectura de proxy en la nube detiene los intentos de vulneración de aplicaciones privadas y detecta incluso las técnicas de ataque más sofisticadas con una inspección en línea completa.
• Detener la pérdida de datos: Zero Trust Exchange inspecciona los datos en movimiento y en reposo para evitar el posible robo de datos por parte de un atacante activo.