Al igual que en otros años, en 2019 uno de los ataques más efectivos fueron los de ingeniería social (donde el estafador se hace pasar por una entidad de confianza para obtener información confidencial), entre ellos los ataques de phishing. ESET, compañía líder en la detección proactiva de amenazas, repasa algunos de los conceptos que explican el porqué de este fenómeno.
“Los cibercriminales permanentemente están buscando mejorar sus técnicas para llevar adelante ataques más ingeniosos y elaborados. Por ejemplo, en una gran cantidad de campañas de phishing incorporaron certificados SSL en los servidores, logrando que el navegador le informe al usuario que está navegando en una página “segura”. También, fueron constantes los mensajes que apuntan a dispositivos móviles, en los cuales la URL completa es muy difícil de ver, así como el crecimiento de los ataques homográficos, donde la dirección del sitio al que se invita a acceder es prácticamente la misma que el sitio real.”, comentó Luis Lubeck, Especialista en seguridad informática de ESET Latinoamérica.
Los mensajes más efectivos a la hora de buscar captar posibles víctimas son los relacionados a los problemas de seguridad de los usuarios finales (según el último reporte de KnowBe4), principalmente los dirigidos a entornos corporativos. El uso de mensajes de este tipo tiene la intención de comprometer los sistemas de empresas para lograr filtrar su información. Se identificó la utilización de las siguientes excusas:
- Verificación de contraseña requerida de forma inmediata
- Un intento de entrega fue realizado
- Desactivación de la [dirección correo] en proceso
- Nuevos beneficios para los empleados
- Política de vacaciones y licencias por enfermedad revisada
- Tiene un nuevo mensaje de voz
- Nuevos cambios en la organización
- Cambio de contraseña requerido de forma inmediata
- Revisión de personal [año]
La modalidad de Business Email Compromise (BEC), correos dirigidos en los que los cibercriminales suplantan la identidad de la cuenta de correo de una empresa (ya sea mediante técnicas de spoofing -técnica que permite la falsificación de alguna característica de las partes intervinientes en una comunicación informática- o directamente habiendo conseguido acceso a la misma) tiene la finalidad maximizar la efectividad del mensaje enviado al hacerse pasar por un remitente conocido. Generalmente, el contenido de estos mensajes está relacionado a temas de injerencia directiva o decisoria. Según el reporte de la empresa Barracuda, este tipo de ataques son veinte veces más efectivos que los phishing convencionales y generaron pérdidas superiores a los 26 mil millones de dólares en los últimos 4 años.
Por otro lado, algunos de los asuntos que más clics generaron durante 2019 en correos que apuntaban a cuentas no corporativas, son los siguientes:
- Nuevo mensaje de voz en Skype
- Reembolso de la transacción
- [Nombre de un contacto] compartió un documento contigo
- Microsoft Teams: por favor autentificar su cuenta
- Bonos para empleados seleccionados
- Cisco Webex: su cuenta de ha sido bloqueada
- Amazon: dirección de facturación no coincide
- USPS: Paquete de alta prioridad: ¡Verifique por dónde va!
- Verizon: actualización seguridad
- Adobe Cloud: compartieron un documento con usted
“En la mayoría de los casos, los ciberdelincuentes buscan enviar correos con este tipo de mensaje en el asunto para robar credenciales de acceso a servicios masivos, ya sea con la finalidad de obtener datos sensibles de las víctimas almacenados en los mismos o generar bases de datos para luego comercializarlas en el mercado negro.”, agrega Lubeck.
En cuanto a redes sociales, el reporte muestra que LinkedIn, la red social de perfiles corporativos y laborales, recibe casi la mitad de los intentos de mensajes que buscan captar credenciales, con el 48%. Los envíos son del tipo: “Agrégame”, “Su cuenta aparece en nuevas búsquedas”, “Su perfil fue visitado”, “Reseteo de contraseña” o “Pedido de desactivación”.
En el caso de Facebook, los mensajes más frecuentes son del tipo: “Alguien te mencionó en una publicación”, “Tus amigos te etiquetaron en las siguientes fotos”, “Cuenta de correo principal modificada”. En menor medida, en el caso de Twitter los mensajes son del tipo: “Alguien te envió un mensaje directo”.
Para estar protegidos ante este tipo de ataques, ESET acerca 5 prácticas recomendadas:
- Verificar la dirección del remitente. Si bien los cibercriminales en algunas oportunidades utilizan técnicas como el spoofing de remitente, a través de las cuales pueden hacerse pasar por una dirección real, si se verifica el encabezado del mismo se puede llegar a detectar que el envío se realizó a través de otro servidor.
- En caso de que el remitente sea el real, pero se dude de la veracidad del mensaje, contactarlo por otro medio y validar si el mensaje realmente existió.
- Analizar minuciosamente el enlace al cual se invita a hacer clic, no se recomienda acceder directamente a un enlace que viene incluido en un mensaje. Si se trata de un caso real y el usuario debe acceder a su cuenta, es recomendable que lo realice de la manera tradicional, desde su acceso directo, a través de una aplicación o ingresando manualmente la URL del servicio al cual desea acceder en el navegador.
- Es sumamente importante activar (en todas las cuentas que así lo permitan) el Doble Factor de Autenticación, ya que en caso de que un usuario haya sido afectado por una filtración de credenciales, este código aleatorio que llega al dispositivo móvil vía aplicación o SMS, es muy difícil de adivinar u obtener.
- Para los usuario de Google Chrome es posible activar la extensión de verificación de contraseñas, la cual permite recibir alertas en tiempo real si se quiere utilizar una contraseña que ha formado parte de alguna filtración.
“El primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse unos minutos para corroborar que no hay nada sospechoso. Recomendamos leer 8 señales que indican que eres un blanco fácil de las estafas por Internet, una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios. Además, es importante recordar que la prevención, las buenas prácticas y contar con una solución de seguridad actualizada en los dispositivos, son puntos claves para disfrutar de Internet de una manera segura”, concluye el Especialista en seguridad informática de ESET Latinoamérica.
ESET acerca #quenotepase, con información útil para evitar que situaciones cotidianas afecten la privacidad en línea. De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2019/12/26/mensajes-asuntos-correo-mas-utilizados-cibercriminales/