Trucos comunes del spear-phishing

Para poder prepararse ante los ataques dirigidos a tu empresa, los responsables de la seguridad de la información necesitan estar al tanto de los correos electrónicos de spear-phishing que se reciban.

Prácticamente la mayoría de empleados de una gran empresa se encuentra con el ocasional correo electrónico que busca robar sus credenciales corporativas. Comúnmente se presenta en forma de phishing masivo, un ataque donde los correos electrónicos se envían de manera aleatoria con la esperanza de que al menos algunos destinatarios muerdan el anzuelo. Sin embargo, entre este mar de correos de phishing se podrían esconder uno o dos mensajes más peligrosos, cuyo contenido fuera personalizado para los empleados de empresas específicas. A esto se le llama spear-phishing.

Los mensajes de spear-phishing son una señal clara de que los cibercriminales están interesados específicamente en tu empresa, y podría no ser el único ataque en marcha. Por este motivo, los agentes de seguridad de la información necesitan saber si cualquier empleado ha recibido un correo de spear-phishing; necesitan preparar la defensa y alertar al personal a tiempo.

Por este motivo, aconsejamos al departamento de TI que revisen los correos filtrados de manera periódica en busca de spear-phishing, y que enseñen al resto de los empleados a detectar las señales del phishing dirigido. A continuación encontrarás algunos de los trucos más comunes, con ejemplos de algunas campañas recientes de spear-phishing.

Nombre de la empresa mal escrito

El cerebro humano no siempre percibe la palabra entera escrita; observa un inicio conocido y completa el resto por sí mismo. Los atacantes pueden aprovecharse de esto al registrar un dominio que difiere del de tu empresa en solo una o dos letras.

Un nombre de empresa con una letra faltante.

Los cibercriminales propietarios del dominio pueden incluso configurar una firma DKIM para que el correo electrónico pase todas las verificaciones. Y es que, al fin y al cabo, es su dominio.

Firma DKIM valida en un correo electrónico de spear-phishing

 

Palabras adicionales en el nombre de la empresa

Otra manera de engañar a los destinatarios para que piensen que es un compañero quien les escribe es registrar un dominio de dos palabras. Por ejemplo, para parecer un remitente de un departamento específico de una sucursal local. En este último caso, los cibercriminales tienden a hacerse pasar por personal de soporte técnico o seguridad de la información.

Los empleados de cada departamento deben tener una dirección de correo electrónico corporativa estándar. No es común configurar un dominio distinto para el personal de seguridad. En el caso de oficinas locales, si no estás seguro, revisa el dominio en el directorio corporativo.

Contenido específico

Un correo electrónico de phishing que mencione a tu empresa (o peor, al destinatario) por nombre es una señal clara de spear-phishing, y un motivo para activar la alarma.

Tema altamente especializado

Sin embargo, ver estos nombres no siempre significa que un mensaje sea de spear-phishing; podría ser una variación de una estafa de phishing masivo. Por ejemplo, los suplantadores de identidad podrían utilizar una base de datos de los participantes de una conferencia o evento y jugar con el tema de la conferencia: esto es phishing masivo. Si intentan atacar a empleados de una empresa específica de la misma manera, eso sí sería spear-phishing, y por lo tanto, seguridad necesita estar al tanto.

Finalmente, para poder buscar señales de spear-phishing potencial sin disminuir la seguridad real de la empresa, recomendamos instalar soluciones contra el phishing de protección en los servidores de correo y en las estaciones de trabajo de los empleados.

Consejos