Hace mucho tiempo que el phishing se convirtió en uno de los vectores de ataque más importantes para las redes corporativas. Por tanto, no debería sorprender que todos y todo en general, desde los proveedores de correo electrónico hasta las pasarelas de correo e, incluso, los navegadores, utilicen los filtros antiphishing y el análisis de direcciones maliciosas. Esto provoca que los ciberdelincuentes sigan inventando constantemente nuevos métodos, o perfeccionen los antiguos, para eludir los mecanismos de detección. Uno de estos métodos es el delayed phishing, que podríamos traducir como phishing con retardo.
¿Qué es el delayed phishing?
El delayed phishing o phishing con retardo es un intento de atraer a una víctima a un sitio malicioso o falso mediante una técnica conocida como Post-Delivery Weaponized URL. Como el propio nombre sugiere (URL armada posterior al envío, por su traducción), esta técnica reemplaza el contenido online con una versión maliciosa después de la entrega de un correo electrónico que lo vincula. En otras palabras, la víctima potencial recibe un correo electrónico con un vínculo que, o bien no dirige a ningún sitio, o lo hace a un recurso legítimo que ya puede estar comprometido pero que en ese momento no tiene contenido malicioso. Como resultado, el mensaje pasa por todos los filtros. Los algoritmos de protección encuentran la URL en el texto, escanean el sitio vinculado, no ven nada peligroso y, por tanto, permiten el mensaje.
En algún momento posterior al envío (siempre después de la entrega y, a ser posible, antes de que se lea), los ciberdelincuentes cambian el sitio al que está vinculado el mensaje o activan el contenido malicioso en una página previamente inofensiva. El truco podría ser cualquier cosa, desde la imitación de un sitio bancario hasta un exploit del navegador que intenta lanzar malware en el ordenador de la víctima. Pero en aproximadamente el 80 % de los casos, es un sitio de phishing.
¿Cómo consigue engañar a los algoritmos antiphishing?
Los ciberdelincuentes utilizan uno de estos tres medios para que sus mensajes pasen los filtros.
- Un enlace simple. En este tipo de ataque, los delincuentes controlan el sitio objetivo, que crearon desde cero o hackearon y secuestraron. Los ciberdelincuentes prefieren este último método, ya que así el sitio ya cuenta con una buena reputación, lo cual gusta a los algoritmos de seguridad. En el momento de la entrega, el enlace conduce a un stub sin sentido o (más comúnmente) a una página con un mensaje de error 404.
- El cambio de un enlace corto. Muchas herramientas online permiten a cualquiera convertir una URL larga en una corta. Los enlaces cortos facilitan la vida de los usuarios; pero, un enlace corto y fácil de recordar se acaba convirtiendo en uno grande. En otras palabras, desencadena una redirección simple. Con algunos servicios, puedes cambiar el contenido oculto detrás de un enlace corto, una laguna que los atacantes aprovechan. En el momento de la entrega del mensaje, la URL dirige a un sitio legítimo, pero después lo cambian a uno malicioso.
- Un enlace corto y aleatorio. Algunas herramientas para acortar enlaces permiten la redirección probabilística. Es decir, el enlace tiene un 50% de posibilidades de llevar a google.com y otro 50% de abrir un sitio de phishing. La posibilidad de aterrizar en un sitio legítimo aparentemente puede confundir a los rastreadores (programas para la recopilación automática de información).
¿Cuándo se vuelven maliciosos los enlaces?
Los atacantes suelen operar bajo el supuesto de que su víctima es un trabajador normal que duerme por la noche. Por lo tanto, los mensajes de phishing con efecto retardado se envían después de medianoche (según la zona horaria de la víctima) y se vuelven maliciosos unas horas más tarde, cerca del amanecer. Al observar las estadísticas de los factores desencadenantes del antiphishing, vemos un pico entre las 7 y las 10 de la mañana, cuando los usuarios que ya ha se han tomado su café hacen clic en los enlaces que eran benignos en el momento del envío pero que ahora son maliciosos.
Tampoco podemos perder de vista el spear phishing. Si los ciberdelincuentes encuentran a una persona específica para atacar, pueden estudiar la rutina diaria de su víctima y activar el enlace malicioso dependiendo de la hora a la que revise el correo.
Cómo detectar el phishing con retardo
Lo ideal sería evitar que el enlace de phishing llegue al usuario, por lo que volver a analizar la bandeja de entrada parece la mejor estrategia. En algunos casos, esto es factible: por ejemplo, si tu organización utiliza un servidor de correo de Microsoft Exchange.
A partir de este mes de septiembre, Kaspersky Security for Microsoft Exchange Server admite la integración del servidor de correo a través de la API nativa, que permite volver a analizar los mensajes que ya se encuentran en los buzones de correo. Un análisis configurado adecuadamente asegura la detección de intentos de phishing con retardo sin crear una carga adicional en el servidor en la hora pico del correo.
Además, nuestra solución te permite monitorizar el correo interno (que no pasa a través de la pasarela de seguridad del correo y, por lo tanto, pasa desapercibido para tus filtros y motores de análisis), así como implementar reglas más complejas para filtrar el contenido. En casos especialmente peligrosos de compromiso del correo electrónico empresarial (BEC), en los que los ciberdelincuentes obtienen acceso a una cuenta de correo corporativo, la capacidad de volver a escanear el contenido de las bandejas de entrada y controlar la correspondencia interna adquiere una importancia especial.
Kaspersky Security for Microsoft Exchange Server se incluye en nuestras soluciones Kaspersky Security for Mail Servers and Kaspersky Total Security for Business.