Cómo detener el phishing

Posted on by Rudeus Greyrat

Descripción general:
el phishing es el punto de partida de la mayoría de los ciberataques. Al enviar mensajes maliciosos o crear un sitio clonado, los atacantes utilizan técnicas psicológicas y herramientas de ingeniería social, por lo que protegerse contra este tipo de campañas no es tarea fácil para los profesionales de la seguridad de la información. Para protegerse contra los ataques de phishing, puede usar diferentes herramientas integradas en los navegadores y servidores de correo, así como herramientas «superpuestas» de proveedores externos. Veamos qué tan efectivas son estas soluciones en comparación con la capacitación de usuarios y si necesita comprar una solución adicional para combatir el phishing.

Phishing:
definamos los conceptos básicos: qué se llama phishing y en qué se diferencia este tipo de ataque de otras ciberamenazas.

  • Inicialmente, el concepto de phishing asumía una interpretación muy estrecha y se refería a cartas que atraían a la víctima a un sitio falso. Sin embargo, más tarde, el significado de este término se amplió significativamente. Ahora, cualquier correo electrónico malicioso se denomina correo electrónico de phishing. 
  • Los medios modernos de protección no permiten que un atacante se conecte fácilmente a ningún recurso valioso dentro de la red corporativa, por lo que los phishers intentan provocar ciertas acciones del usuario que se convertirán en el punto de partida de un ciberataque.
  • Cualquier esquema fraudulento que implique una comunicación directa entre un atacante y un empleado de una organización o un usuario doméstico puede denominarse phishing. Para esto, se pueden utilizar tanto los medios electrónicos modernos de comunicación: correo electrónico, mensajería instantánea como los antiguos, por ejemplo, una llamada telefónica.
  • No debemos olvidarnos del phishing que emplea medios físicos. Un ejemplo de tal ataque es la memoria USB que se usó para detener el programa nuclear iraní en 2010 .
  • El phishing comienza mucho antes de que la víctima lo encuentre directamente. Por lo tanto, dependiendo de los presupuestos y los recursos humanos, las empresas pueden utilizar un servicio para monitorear los indicadores de un posible ataque o analizar de forma independiente el entorno externo en busca de amenazas potenciales.

Pasos preventivos:
la protección preventiva contra el phishing incluye los siguientes.

  • Detectar sitios maliciosos que pueden ser utilizados en un ataque a una organización específica.
  • Seguimiento de redes sociales para identificar publicaciones que contengan información sobre empleados y otras medidas.

Amenazas de phishing proactivas:
hoy en día, la mayoría de las empresas rara vez buscan amenazas de phishing de manera proactiva, ya que este es un proceso complejo que requiere recursos significativos. Resulta que es ineficaz que las empresas participen en tales actividades por su cuenta. Existen soluciones especializadas que lo hacen de forma rápida y económica.

Canales de phishing:
cómo se inicia un ataque de phishing y qué medios de comunicación utilizan con mayor frecuencia los ciberdelincuentes para entregar enlaces maliciosos.

  • Según las estadísticas, más del 96% de los ataques de phishing comienzan con el correo electrónico. Al mismo tiempo, este canal es el más fácil de identificar. Otros vectores de ataque son mucho más difíciles de rastrear.
  • La mayor parte de los ataques de phishing se lleva a cabo a través del correo electrónico simplemente porque todas las organizaciones usan el correo electrónico. El correo electrónico corporativo no siempre está protegido, y los atacantes tienen un sinfín de intentos de encontrar las direcciones de correo electrónico necesarias y eludir la protección antispam.
  • En caso de ataques masivos, el correo electrónico es, de hecho, el principal canal de entrega de contenido malicioso. Sin embargo, en el caso de un ataque dirigido, a menudo se utilizan otros métodos para interactuar con los empleados de la empresa, como el teléfono, las redes sociales y los mensajeros. Al mismo tiempo, los ataques de phishing dirigidos no son muy comunes debido a la complejidad de su preparación.
  • Las campañas masivas de phishing también utilizan algún tipo de orientación, como verificar la región a la que pertenece un dispositivo antes de iniciar un ataque. A menudo, los métodos de ataques de phishing masivos y dirigidos son los mismos. Una vez más, incluso los ataques que se dirigen a un gran número de víctimas más pequeñas utilizan algún tipo de perfilado para aumentar la tasa de conversión.
  • En cuanto al daño que puede causar un ataque de phishing, va desde miles de dólares en el caso de individuos hasta millones si los atacantes tienen como objetivo a una organización.
  • A pesar de la prevalencia del correo electrónico como el principal canal de phishing, los expertos ven un crecimiento de los ataques en los que se utilizan mensajeros instantáneos, blogs, cuentas de redes sociales oficiales y falsas y otras opciones para interactuar con los usuarios objetivo.

Métodos de protección contra el phishing:
los servidores de correo y los clientes de correo, así como los navegadores, tienen protección integrada contra el phishing. ¿Son estas herramientas suficientes para defenderse de un ataque? ¿Son realmente necesarias las soluciones de terceros?

  • Las herramientas de seguridad integradas para servicios de correo electrónico y navegadores brindan un nivel básico de protección que los atacantes pueden eludir porque tienen la capacidad de probar los mecanismos apropiados antes de atacar. Aquellos que utilizan estas herramientas básicas de seguridad ven esto en su vida cotidiana.
  • Las soluciones especializadas implementan algoritmos más sofisticados, pero también pueden ser estudiadas por ciberdelincuentes. Sin embargo, esto aumentará significativamente el costo de un ataque. Los atacantes tendrán que comprar soluciones apropiadas y dedicar mucho tiempo a probar y estudiar cómo funciona cada una de las soluciones. No todos los atacantes darán ese paso. Esto crea un cortafuegos adicional donde los fondos se convierten en una inversión de seguridad efectiva.

 Solución de seguridad de correo electrónico:
una solución de seguridad de correo electrónico moderna debe tener las siguientes propiedades.

  • Actualizado regularmente.
  • Utilice técnicas de aprendizaje automático para reconocer diferentes tipos de ataques.
  • Ser capaz de comprender bien la estructura y el texto del mensaje, reconocer el texto en la imagen e identificar otras señales sospechosas e indicadores de phishing.
  • Disponer de un mecanismo de valoración de los datos de reputación del remitente y de los dominios especificados en la carta.

Solución
de aprendizaje automático: el aprendizaje automático se utiliza en sistemas antiphishing para comparar páginas de sitios web e identificar nombres de dominio sospechosos. Estas acciones no pueden automatizarse de manera efectiva mediante firmas o métodos estadísticos. Sin embargo, ML y AI hacen un buen trabajo en esto. Además, mediante el aprendizaje automático, es posible analizar las acciones que un usuario intenta realizar después de recibir un mensaje y así evitar la propagación de malware y el desarrollo de un ataque. Es aconsejable utilizar una base de datos proporcionada por un proveedor como base para el aprendizaje automático, ya que los propios datos de la organización pueden no ser suficientes, ya que se vuelven obsoletos rápidamente. Al mismo tiempo, un especialista en seguridad de la información puede complementarlo, así como ajustar manualmente las soluciones de inteligencia artificial para afinar las reglas.

Protección contra el phishing web:
¿Qué estrategia se debe utilizar en relación con el seguimiento de un enlace en un mensaje? ¿Debería bloquear o restringir todas las transferencias a recursos externos de forma predeterminada o, por el contrario, permitirlas? ¿Qué herramientas hay disponibles para identificar sitios de phishing? ¿Cómo lidiar con los sitios de vuelo nocturno?

  • La estrategia de prohibiciones totales puede ser bastante efectiva, pero tiene un efecto perjudicial en los procesos comerciales de la empresa. Es muy difícil usarlo al máximo en la vida real. Una compensación es permitir que los usuarios accedan a sitios de una categoría específica.
  • Muchas empresas tienen la práctica de otorgar acceso a los empleados en función de una lista limitada de recursos confiables. Sin embargo, el problema es que los principales objetivos de los ataques de phishing (personal de marketing y ventas, financistas, ejecutivos de empresas) suelen tener algunos privilegios y necesitan trabajar con una lista más amplia de recursos.

Combatir sitios clonados:
para combatir sitios clonados, puede utilizar las siguientes estrategias.

  • Utilice los servicios de protección de marca, que verifican todos los dominios recién registrados en busca de similitudes con el dominio de una organización en particular, así como también verifican automáticamente el contenido de dichos sitios.
  • Use herramientas para analizar las acciones realizadas por el sitio cuando lo abre en un navegador para combatir los recursos que muestran contenido diferente al usuario y los robots de los motores de búsqueda según ciertos parámetros de la sesión.

Fuentes de datos externas para luchar contra
el phishing: Al final, toquemos brevemente la práctica de utilizar flujos de datos de terceros (fuentes) para enriquecer los sistemas anti-phishing. Si bien la información de los agregadores puede ser útil, esta información no es muy efectiva para la protección contra el phishing porque se vuelve obsoleta muy rápidamente. También hay que tener en cuenta que añadir un gran número de indicadores de ataque puede suponer un aumento del número de falsos positivos. Puede usarlos, pero tendrá que administrar muchos feeds, lo que requiere muchos recursos.

Conclusión:
la protección contra el phishing no debe limitarse a las herramientas integradas en su navegador o cliente de correo electrónico. Estas herramientas brindan solo un nivel básico de protección y, a menudo, son impotentes contra las amenazas dirigidas. Al mismo tiempo, las soluciones de terceros tampoco garantizan el bloqueo completo de todos los mensajes maliciosos. Los usuarios corporativos deben prestar atención a los recursos externos que pueden usar su marca como cebo, así como a los sitios falsos dirigidos a los empleados de la empresa. En cualquier caso, la lucha contra el phishing requiere un enfoque integrado, que incluye una combinación de herramientas técnicas (tanto propias como de terceros), así como medidas organizativas: formación del personal, políticas, acciones para proteger la marca en Internet. .

Publicación traducida automáticamente

Artículo escrito por alexcybersmith y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *