El spear phishing es una estafa de correo electrónico dirigida contra un objetivo específico, normalmente una empresa u organización, pero a veces también personas concretas. Los ciberdelincuentes eligen a sus receptores de forma muy precisa y personalizan sus correos electrónicos de ataque con el nombre, el cargo, la empresa, el número de teléfono y otros datos de la víctima para poder conseguir información confidencial.
En este tipo de ataque phishing, los hackers recopilan la información de las víctimas sobre todo a través de fuentes de acceso público. Gracias a las RRSS, blogs, foros y otros medios de comunicación, son capaces de crear mensajes y páginas webs similares a las legítimas.
Diferencias con el Deceptive Phishing
A diferencia del deceptive phishing que se basa en enviar correos electrónicos fraudulentos masivos, el spear phishing requiere un esfuerzo mayor a los atacantes. Esto es debido a la gran cantidad de información que es necesario recopilar para hacerse pasar por una persona de confianza de la víctima, pero su índice de éxito también es superior.
Así es cómo funciona: llega un correo electrónico, aparentemente de una fuente de confianza, pero que dirige al destinatario a un sitio web falso lleno de malware sin que este lo sepa. Estos correos electrónicos suelen utilizar tácticas inteligentes para atraer la atención de las víctimas. Aunque a menudo esta estafa está destinada a robar datos con fines maliciosos, los cibercriminales también pueden intentar instalar malware en el ordenador de un usuario específico.
Por ejemplo, el FBI ha advertido de estafas de spear phishing en las que los mensajes de correo electrónico parecían proceder del Centro Nacional para Niños Desaparecidos y Explotados de EE. UU.
Dada la cantidad de información necesaria para elaborar un intento de ataque convincente, no es de extrañar que el spear phishing sea habitual en sitios de redes sociales como LinkedIn, donde los atacantes pueden utilizar múltiples fuentes de datos para elaborar un correo electrónico de ataque personalizado.
Técnicas utilizadas en el Spear Phishing
Estas son algunas de las técnicas más comunes utilizadas en los ataques de spear phishing:
- Alojar documentos maliciosos en servicios en la nube. Los atacantes digitales están alojando cada vez más documentos maliciosos en Dropbox, Box, Google Drive y otros servicios cloud. Esto se debe a que es probable que el departamento de TI no bloquee estos servicios, lo que significa que los filtros de correo electrónico de la organización no marcarán los documentos maliciosos.
- Tokens de autenticación: los ciberdelincuentes están tratando de comprometer los tokens de la API o los tokens de sesión. El éxito en este sentido les permitiría robar el acceso a una cuenta de correo electrónico, un sitio de SharePoint u otro recurso.
- Reunir notificaciones fuera de la oficina: Los atacantes necesitan mucha información para enviar una campaña de spear phishing convincente. Según Trend Micro, una forma de hacerlo es enviando correos electrónicos en masa a los empleados y recopilando notificaciones fuera de la oficina para conocer el formato de las direcciones de correo electrónico utilizadas por los empleados.
Explorar las redes sociales: Los actores maliciosos necesitan saber quién trabaja en una empresa objetivo. Para ello, pueden utilizar las redes sociales para investigar la estructura de la organización y decidir a quién les gustaría seleccionar para sus ataques.
Cómo defenderse del Spear Phishing
Para protegerse contra este tipo de estafa, las organizaciones deben llevar a cabo una formación continua de concienciación de ciberseguridad para los empleados. A fin de disuadirlos de publicar información personal o corporativa sensible en las redes sociales.
Las empresas también deberían invertir en soluciones que analicen los correos electrónicos entrantes en busca de enlaces o archivos adjuntos maliciosos. Esta solución debe ser capaz de detectar indicadores tanto de malware conocido como de amenazas zero-day.
Ejemplos de ataques Spear Phishing
A finales de mayo, el Centro de Inteligencia de Amenazas de Microsoft (MTIC) detectó algunos correos electrónicos de ataque que parecían proceder de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). La dirección llegaba con una dirección de correo electrónico de remitente auténtico que coincidía con el servicio estándar de Constant Contact. Utilizando el fraude electoral como señuelo, los correos electrónicos de spear phishing engañaban a las víctimas para que hicieran clic en un enlace que finalmente les redirigía a una infraestructura controlada por NOBELIUM. Esa infraestructura descargaba entonces un archivo ISO malicioso en la máquina de la víctima.
En 2015 la Electronic Frontier Foundation (EFF), una organización sin ánimo de lucro con el objetivo de defender los derechos de libertad de expresión en la era digital, fue usada para crear una página web falsa, electronicfrontierfoundation.org. Al entrar en este sitio, se descargaban al ordenador de las víctimas keyloggers y otros malwares. La propia EFF detectó el ataque y lo calificaron de spear phishing, aunque nunca tuvieron claro quiénes habían sido los objetivos, y se hicieron con el control del dominio, en el que ahora se puede leer cómo se llevó a cabo el ataque.
¿Cómo ayudamos desde CORRECTA para proteger la ciberseguridad de las empresas? Para descubrirlo, haz clic aquí.
