Una inmersión más profunda en los ataques de phishing

Una inmersión más profunda en los ataques de phishing

escrito e investigado por Nicolás Chiaraviglio y Santiago A. Rodríguez

Como se menciona en nuestra entrada de blog En el phishing móvil, existen diferentes tipos de ataques de phishing. Aquí profundizaremos en los diferentes tipos que existen. Además, echaremos un vistazo a los kits de phishing, una herramienta que permite a los estafadores no técnicos ejecutar ataques exitosos.

Todos los ataques de phishing tienen el mismo objetivo: engañar a la víctima para obtener información personal o instalar malware haciéndose pasar por alguna entidad conocida. Sin embargo, existen diferentes formas de lograr este propósito: engañoso, spear y clon phishing, smishing y domain spoofing. Echemos un vistazo a cada uno de ellos.

Este es el tipo más común de ataque de phishing. Por lo general, se entrega mediante un correo electrónico que se hace pasar por una empresa legítima y le pide al usuario que haga clic en un enlace que muestra un sitio web que es una copia del sitio web legítimo. Una vez allí, se le pide al usuario que cree cuentas, ingrese credenciales o verifique datos personales.

Este tipo de ataque se dirige a millones de personas al mismo tiempo. Por ese motivo, también se conoce como phishing masivo o por pulverización.

A continuación se muestran dos capturas de pantalla: una pertenece al sitio web real de PayPal y la otra a un sitio de phishing engañoso. ¿Puedes identificar cuál es el verdadero? Exactamente.

1671286119 422 Una inmersion mas profunda en los ataques de phishing

Spear phishing es un intento de phishing dirigido contra un individuo u organización. Este tipo de ataque suele enviarse por correo electrónico a través de un remitente «conocido» y utiliza información personal (como el nombre, la empresa, el cargo, las cuentas de redes sociales, etc.) para aumentar la probabilidad de éxito. Para crear este tipo de phishing, el atacante necesita conocer cierta información sobre la organización o el individuo al que se dirige. Por esta razón, es importante minimizar la información que compartimos en línea.

Cuando este tipo de ataque de phishing se lleva a cabo contra ejecutivos dentro de una organización, esto se conoce como “whaling”. La caza de ballenas es uno de los tipos de ataques más riesgosos para cualquier organización. Imagine qué información confidencial puede obtener un atacante al tener el mismo acceso a los datos de la empresa que el director ejecutivo de la empresa.

Este tipo de ataque reutiliza un correo electrónico legítimo que contiene un enlace o un archivo adjunto que se entregó previamente y crea un clon de ese mensaje pero con contenido malicioso (por ejemplo, reemplazando el enlace al que apunta la URL o el archivo adjunto con malware). Para llevar a cabo este ataque, el remitente del correo electrónico debe ser pirateado por adelantado, lo que agrega una capa adicional de dificultad.

Un tipo popular de ataque de clonación de phishing consiste en enviar un correo electrónico haciéndose pasar por el CEO a un empleado de la empresa, solicitando realizar transferencias bancarias o proporcionar información confidencial.

Smishing es más un método de entrega que un tipo de ataque separado. Cuando un SMS es el método de entrega del cebo, el ataque de phishing se denomina smishing. La importancia de mencionar este tipo de método de envío es enfatizar que los ataques de phishing no se limitan solo a los correos electrónicos. De hecho, mse advierte a los usuarios móviles contra una nueva estafa de FedEx en forma de mensajes SMS convincentes que parecen ser de la empresa de servicios de entrega.

Este tipo de ataque de phishing utiliza pequeñas variaciones de dominios legítimos para engañar al usuario haciéndole creer que es el dominio real. Algunas técnicas utilizadas para realizar este ataque son:

  • Registro de dominios con errores ortográficos. Por ejemplo gogle.com en vez de google.com o instagram.com en vez de instagram.com, linkedln.com en vez de Linkedin.com. Entiendes la idea.
  • Uso de subdominios. Un atacante puede registrar el dominio informacion-importante.com y luego crea un subdominio en él como: https://paypal.informacion-importante.com que puede ser interpretado por el usuario como una URL legítima de PayPal.
  • Uso de caracteres no ASCII: ICANN permite el registro de dominios utilizando caracteres Unicode. Esto abrió un juego completamente nuevo para la manipulación de enlaces, permitiendo que el atacante registre un dominio completamente nuevo utilizando caracteres similares. Por ejemplo, ¿puedes encontrar la diferencia entre www.google.com y www.ɡoogle.com? La diferencia es que el segundo dominio usa el carácter Unicode U+0261 (ɡ) en lugar del U+0067 (g) normal. Otros ejemplos de caracteres que se pueden usar para reemplazar los del alfabeto latino son: U+0430, U+0435, U+0440, U+0441, U+0443 y U+0456 (caracteres cirílicos а, е, р , с, у e і) con U+0061, U+0065, U+0070, U+0063, U+0079 y U+0069 (letras latinas a, e, p, c, y e i). Esto también se conoce como un Ataque de homógrafos de IDN.

La suplantación de dominio suele estar encadenada con otros tipos de ataques de phishing, según el método de entrega utilizado. En los dispositivos móviles, este tipo de ataque de phishing es más difícil de detectar ya que la mayoría de los navegadores móviles no muestran la URL completa, sino una versión corta.

Organizar un ataque de phishing es más complicado que simplemente enviar un correo electrónico/SMS con una URL. Esa URL debe existir y producir un sitio web que pueda engañar incluso al usuario más experimentado. Esto requiere habilidades técnicas que exceden las del estafador común.

Sin embargo, esta falta de habilidades se puede «arreglar» comprando la herramienta correcta para script kiddie. Tal herramienta se conoce como kit de suplantación de identidad, que proporciona todo lo necesario para clonar un sitio web legítimo y enviar la información (después de que el ataque sea exitoso) al atacante. Estos kits también pueden contener software para enviar una gran cantidad de correos electrónicos (y también una base de datos de correo electrónico).

Los kits de phishing se pueden comprar en la web profunda o incluso se pueden encontrar en otros sitios de phishing de forma gratuita. La mayoría de las veces, el estafador también es estafado, ya que el creador del kit está, al mismo tiempo, enviándose toda la información recopilada a sí mismo. Esto se puede hacer ya que la mayoría de los usuarios del kit no tienen las habilidades necesarias para evaluar lo que está haciendo el kit. Es común encontrar la dirección de correo electrónico del creador del kit mal ofuscada como parte del código fuente del sitio renderizado.

Los kits de phishing son importantes porque permiten que el estafador no técnico acceda a una gran cantidad de víctimas potenciales. Como ejemplo, los sitios web que se muestran a continuación se generaron utilizando los kits de phishing que se muestran a la izquierda. Como puedes ver, algunos crean una réplica exacta del sitio web original (como los de PayPal y Yahoo), y otros no son buenas imitaciones.

1671286120 712 Una inmersion mas profunda en los ataques de phishing

1671286120 366 Una inmersion mas profunda en los ataques de phishing

1671286120 476 Una inmersion mas profunda en los ataques de phishing

Contáctenos

Si desea aprender cómo proteger sus dispositivos móviles de los ataques de phishing, por favor Contáctenos. Estamos aquí para ayudar.

Deja un comentario