El 12 de enero de 2016 se lanzó un ciberataque que afectó 80.000 clientes de un proveedor de servicios eléctricos de Ucrania (Prykarpattyaoblenergo). Esta fue la primera vez que pudimos documentar completamente y confirmar que un corte de energía fue causado por piratas informáticos desde una ubicación remota. Estos piratas informáticos no siempre cuentan con los mejores equipos o recursos. A cambio, tienen una actitud y un talento que enfrenta las salvaguardas con un único principio en mente: el eslabón más débil de un sistema de seguridad es el ser humano que lo utiliza.
Una investigación del ataque anterior llegó a la conclusión de que se trataba de un incidente de spear phishing. Si bien este tema se discutió brevemente en un artículo anterior, sospecho que este es un momento oportuno para ampliar el tema y ofrecer la mayor cantidad de información crucial posible sobre este tipo de ataque.
¿Qué es el phishing selectivo?
La magia del spear phishing consiste en recopilar información sobre un individuo (fecha de nacimiento, nombre, otra información relevante) antes de realizar el ataque. El ataque en sí incorporará esa información para convencer al individuo de que el remitente es una entidad legítima que «conoce» a la víctima. Spear phishing es peligroso porque utiliza la relación entre un individuo y una organización para lograr su propósito, que generalmente implica obtener información crucial y útil (a menudo de naturaleza financiera, pero no siempre, como es el caso del robo de identidad) sobre la víctima.
El sitio web del FBI utiliza el ejemplo hipotético de hackers imitando una empresa de telecomunicaciones y enviando a sus clientes un enlace a una página falsa donde ingresarían sus fechas de nacimiento y números de seguro social. Este es un ejemplo de libro de texto de lo que describí anteriormente. Por lo general, las víctimas del phishing selectivo a menudo están conectadas de alguna manera. Suelen ser clientes de la misma empresa, compañeros de trabajo o de clase.
Diferencia entre Spear Phishing y Plain Old Phishing
El estilo típico y tradicional de phishing consiste en enviar correos electrónicos al azar a una larga lista de personas. Los piratas informáticos esperan obtener algunas respuestas, pero la mayoría de las personas no serán víctimas de este ataque. Debido a la sofisticación detrás del phishing selectivo, es mucho más efectivo y es más probable que produzca víctimas incluso entre personas que deberían saber que no deben confiar en tales correos electrónicos. Algunos ataques de spear phishing incluso usan direcciones oficiales de las empresas que están imitando (una práctica conocida como suplantación de identidad), lo que los hace extremadamente peligrosos.
Los piratas informáticos inteligentes, en lugar de buscar una fuga importante en la base de datos (como la que sufrió Target en marzo de 2014) como una lista de correos electrónicos aleatorios a los que pueden disparar para divertirse y reír, vea esa lista como una oportunidad para usar la información recopilada para victimizar a los clientes al usar su confianza en la empresa como cebo. ¿Perverso? Sí. ¿Travieso? Absolutamente. ¿Elegante? ¡Oh sí!
Cómo armarse contra eso
Para luchar contra el spear phishing, la prevención es clave. Debe operar bajo el principio de que ninguna empresa le pedirá información personal a través de un mensaje de correo electrónico. Nunca llame al número de teléfono de una empresa utilizando el que se proporciona en el correo electrónico, ya que podría ser propiedad de los piratas informáticos y operarlo en lugar de la entidad corporativa. Siempre debe buscar el número de teléfono oficial de la empresa y llamarlos si recibe un posible correo electrónico de phishing.
Si el correo electrónico provino de un amigo o familiar, devuélvale la llamada en lugar de responder por correo electrónico. La dirección podría ser falsificada.
¿Algún otro consejo para evitar que las personas sean víctimas del phishing selectivo? ¡Cuéntanos sobre ellos en un comentario!
Danos tu opinión