Los estafadores han usado diferentes estrategias en los últimos años para eludir las tecnologías antiphishing y una de ellas con un alto índice de éxito consiste en la entrega de enlaces de phishing a los objetivos mediante el uso de servicios de marketing, también llamados ESP (siglas de email service provider o empresas especializadas en la entrega de emails con newsletters), para el envío de estos mensajes. De acuerdo con las estadísticas que hemos obtenido de nuestras soluciones, este método está cobrando impulso.
Por qué tiene éxito el phishing mediante los ESP
Las empresas que se toman en serio las amenazas en los correos electrónicos analizan minuciosamente cada e-mail, con motores antivirus, antiphishing y antispam, antes de que los mensajes lleguen a las bandejas de entrada de los usuarios. Estos motores no solo analizan el contenido del mensaje, el asunto y los enlaces, sino que también comprueban la reputación del destinario y los sitios web enlazados. Para llegar a un veredicto, se analiza una combinación de estos factores. Por ejemplo, si un correo masivo proviene de un remitente desconocido, se envía una señal de alerta a los algoritmos de seguridad.
Pero los atacantes han encontrado un método alternativo: enviar correos electrónicos en nombre de entidades de confianza y los servicios de e-mail marketing, que ofrecen una gestión de newsletter de extremo a extremo, cumplen perfectamente con ese papel: son conocidas, muchos proveedores de soluciones de seguridad permiten sus direcciones IP por defecto y algunas incluso se saltan las comprobaciones de los correos que reciben de estos servicios
Así se explotan los ESP
El principal vector de ataque es obvio: se trata de phishing disfrazado de un correo legítimo. En resumen, los ciberdelincuentes se hacen clientes del servicio, normalmente pagan por la suscripción más básica (lo contrario no tendría sentido, ya que saben que pronto podrían detectarlos y bloquearlos).
Pero hay una opción aún más tóxica: usar el ESP como anfitrión de URL. De esta forma, la newsletter se envía mediante la propia infraestructura del atacante. Por ejemplo, los ciberdelincuentes pueden crear una campaña de prueba que contenga la URL de phishing y enviársela a sí mismos para previsualizarla. El ESP genera un proxy para dicha URL y entonces los ciberdelincuentes solo tienen que tomar la URL del proxy para su newsletter de phishing. Otra opción para los estafadores es crear un sitio de phishing que parezca una plantilla de correo electrónico y ofrecer un enlace directo a él, pero esto sucede con menos frecuencia.
De cualquier forma, la nueva URL del proxy ahora tiene una buena reputación, por lo que no se bloqueará y el ESP, que no gestiona el correo, no verá nada malo ni bloqueará a su “cliente”, al menos no hasta que empiece a recibir quejas. A veces este tipo de estrategias también forman parte del spear-phishing.
¿Qué piensan los EPS?
Como de esperar, los EPS no disfrutan siendo herramientas de los ciberdelincuentes. La mayoría de ellos cuenta con sus propias tecnologías de seguridad que analizan el contenido y los enlaces de los mensajes que pasen por sus servidores y casi todos brindan orientación para cualquiera que se encuentre con phishing a través de su sitio web.
Por lo tanto, los atacantes también tratan de mantener la calma de los ESP, por ejemplo, usando un proveedor de proxies, lo que tiende a retrasar los enlaces de phishing, por lo que, en el momento de su creación, los enlaces de los mensajes de prueba parecen legítimos y más tarde se vuelven maliciosos.
Cómo actuar
En muchos casos, los correos masivos se envían a los empleados de la empresa cuyas direcciones son públicas e incluso el más cuidadoso puede bajar la guardia y hacer clic donde no debería. Para proteger a los empleados contra posibles ataques de phishing provenientes de un servicio de e-mail marketing, recomendamos lo siguiente:
- Indicar al personal que nunca abra los correos electrónicos categorizados como “envío masivo” a menos que estén suscritos a la lista de correo específica en cuestión. Es poco probable que estos mensajes sean urgentes; por lo general, en el mejor de los casos, se tratará de publicidad intrusiva.
- Utilizar sólidas soluciones de seguridad que analicen minuciosamente todo el correo electrónico entrante mediante algoritmos heurísticos.
Entre nuestras soluciones se encuentran Kaspersky Security for Microsoft Office 365 y Kaspersky Security for Mail Server, que forma parte de Kaspersky Total Security for Business. Ambas protegen con fiabilidad a los usuarios contra esta amenaza.