Los análisis de Kaspersky han revelado que los ataques de phishing son cada vez más dirigidos y emplean varios trucos nuevos: desde supuestos correos electrónicos de Recursos Humanos que comunican despidos hasta ataques disfrazados de notificaciones de empresas de entrega. Estas y otras conclusiones están documentadas en el nuevo Informe de Kaspersky sobre spam y phishing del segundo trimestre de 2020.
El phishing es uno de los tipos de ataques de ingeniería social más antiguos y flexibles. Se utiliza de muchas maneras y con diferentes propósitos para atraer a los usuarios desprevenidos a sitios web y engañarlos para que ingresen información personal. Esto último a menudo incluye credenciales financieras, como contraseñas de cuentas bancarias o detalles de tarjetas de pago, o contraseñas de inicio de sesión para cuentas de redes sociales. En las manos equivocadas, esto abre las puertas a varias operaciones maliciosas, como el robo de dinero o a que posiblemente las redes corporativas se vean comprometidas. Esto hace que el phishing sea un método de infección inicial popular.
El phishing es un método de ataque potente porque se realiza a gran escala. Al enviar oleadas masivas de correos electrónicos bajo el nombre de instituciones legítimas o para promocionar páginas falsas, los usuarios malintencionados aumentan sus posibilidades de éxito en la búsqueda de credenciales de personas inocentes. Los primeros seis meses de 2020, sin embargo, han mostrado un nuevo lado a esta conocida forma de ataque.
Ataques dirigidos: PyMES en la mira
Como ha indicado el análisis de Kaspersky, en el segundo trimestre de 2020, los phishers realizaron cada vez más ataques dirigidos, con la mayor parte de su enfoque en las pequeñas empresas. Para llamar la atención, los estafadores falsificaron correos electrónicos y sitios web de organizaciones cuyos productos o servicios podrían ser adquiridos por las posibles víctimas. En el proceso de creación de estos bienes falsos, los estafadores a menudo ni siquiera intentaban que el sitio pareciera auténtico.
Estos ataques de phishing dirigidos pueden tener graves consecuencias. Una vez obtenido el acceso al buzón de correo de un empleado, el estafador puede utilizarlo para llevar a cabo más ataques contra la empresa, el resto de su personal o incluso sus contratistas.
“Mil usos”: nuevos trucos para viejos fines
La agenda de noticias generada a raíz del brote de COVID-19, ya ha influido en las “excusas” que usan los estafadores cuando solicitan información personal. Esto incluye disfrazar las comunicaciones para los usuarios desprevenidos como:
- Servicios de paquetería. En el punto máximo de la pandemia, las organizaciones responsables de la entrega de cartas y paquetes tenían prisa por notificar a los destinatarios sobre posibles retrasos. Estos son los tipos de correos electrónicos que los estafadores comenzaron a falsificar, y a las víctimas se les pidió que abrieran un archivo adjunto para averiguar la dirección de un almacén donde podían recoger un envío que no llegó a su destino.
- Servicios postales. Otro recurso relativamente original utilizado por los estafadores era un mensaje que contenía una pequeña imagen de un recibo postal. Los estafadores esperaban que el destinatario, intrigado, aceptara el archivo adjunto (que, aunque contenía «JPG» en el nombre, era un archivo ejecutable) como la versión completa y decidiera abrirlo. Los investigadores de Kaspersky encontraron el software espía Noon en correos examinados.
- Servicios financieros. En el segundo trimestre, los ataques de phishing bancarios a menudo fueron realizados mediante correos electrónicos que ofrecían diversos beneficios y bonificaciones a los clientes de las instituciones de crédito, como supuesta ayuda por la pandemia. Los correos electrónicos recibidos por los usuarios contenían un archivo con instrucciones o enlaces para obtener más detalles. Como resultado, dependiendo de la estrategia, los estafadores podrían obtener acceso a las computadoras de los usuarios, datos personales o datos de autenticación para diversos servicios.
- Servicios de Recursos Humanos. El debilitamiento de la economía durante la pandemia provocó una ola de desempleo en varios países, y los estafadores no desaprovecharon esta oportunidad para atacar. Los expertos de Kaspersky encontraron varios correos que anunciaban, por ejemplo, cambios en la política de incapacidades médicas, o sorprendían al destinatario con la noticia de su despido. En algunos archivos adjuntos, había un archivo Trojan-Downloader.MSOffice.SLoad.gen. Este troyano se utiliza con mayor frecuencia para descargar e instalar cifradores.
“Al resumir los resultados del primer trimestre, asumimos que COVID-19 sería el tema principal para los spammers y phishers durante los últimos meses. Y ciertamente sucedió. Si bien se enviaron correos no deseados sin mencionar la pandemia, los phishers adaptaron sus viejas estratagemas para hacerlas relevantes para la agenda de noticias actual, y además también inventaron nuevos trucos”, comenta Tatyana Sidorina, experta en seguridad de Kaspersky.
Los expertos de Kaspersky aconsejan a los usuarios que tomen las siguientes medidas para protegerse contra el phishing:
- Siempre verifique las direcciones web en mensajes desconocidos o inesperados, ya sea la dirección web del sitio al que se le dirige, la dirección del enlace en un mensaje e incluso la dirección de correo electrónico del remitente, para asegurarse de que sean genuinas y que el enlace en el mensaje no oculte otro hiperenlace.
- Si no está seguro de que el sitio web sea genuino y seguro, nunca ingrese sus credenciales. Si cree que puede haber ingresado su nombre de usuario y contraseña en una página falsa, cambie inmediatamente su contraseña y llame a su banco u otro proveedor de pago si cree que los detalles de su tarjeta han sido comprometidos.
- Utilice una solución de seguridad adecuada con tecnologías anti-phishing basadas en el comportamiento, como Kaspersky Security Cloud y Kaspersky Total Security, que le advertirán si está intentando visitar una página web de phishing.
Para más información sobre las nuevas técnicas del phishing, visite Securelist.