Whaling, el nuevo phising ¿A qué nos estamos enfrentando?

Es probable que últimamente hayas escuchado sobre el Phishing, donde los estafadores utilizan tácticas de ingeniería social para que los usuarios ofrezcan su información personal, como datos financieros, números de Seguro Social y más, mediante mecanismos falsos.

Es posible que también hayas oído hablar de la lanza de phishing, una forma más específica de phishing donde individuos de cualquier nivel pueden ser dirigidos. ¿Pero son conscientes de los peligros de la “caza de ballenas“? No, no estamos hablando del tipo que mantiene a los cazadores marinos en la noche. Estamos hablando de ataques de phishing que son altamente personalizados para llegar a ejecutivos de alto nivel, más conocido como “Whaling

Mientras que los correos electrónicos de phishing son enviados a múltiples destinatarios con la esperanza de que alguno o varios caigan en la estafa, los correos electrónicos de ballenas por lo general solo se envían a personas selectas que tienen mucha influencia en una empresa. Están diseñados para disfrazarse como comunicaciones comerciales críticas enviadas a alguien de importancia, como un CEO u otra autoridad de negocios, en un intento de conseguir que el destinatario renuncie a información personal o financiera.

¿Caza de ballenas? ¿De qué se trata?

A menudo, estos mensajes contienen direcciones falsas que afirman pertenecer a alguien dentro de la empresa. También es común que un correo electrónico ballenero afirme ser parte del Better Business Bureau o al FBI.

Muchos correos electrónicos de “caza de ballenas” tendrán un enlace que instala malware o conduzca al usuario a un sitio web que parece familiar y que probablemente le pedirá su información de inicio de sesión. Lo que sucede después es parte del problema. Envía tu nombre de usuario y contraseña y te informa que tus credenciales son incorrectas y que debes intentarlo de nuevo. Suena bastante inofensivo hasta ahora, ¿verdad?, pero después de todo esto, toda tu información ha sido robada y ahora serás redirigido a una página web real y legítima, donde puede iniciar sesión con éxito desde el primer intento.

Esta es la razón por la que siempre insistimos en que nunca hagas clic en enlaces en un mensaje de correo electrónico a menos que estés 100% seguro del mensaje y del contacto.

¿Cómo superan los “Whalers” los Filtros de Spam?

Los ciberdelincuentes a menudo utilizan nombres de dominio similares o direcciones de correo electrónico gratuitas, pretendiendo ser ejecutivos de negocios. Son capaces de evitar muchas medidas de seguridad porque sus mensajes a menudo no incluyen enlaces o archivos adjuntos de malware. Y debido a que no suelen contener vínculos, y a menudo están mejor escritos que el ataque de phishing estándar, son capaces de pasar más allá de los filtros de spam más fácilmente.

¿Realmente los ejecutivos caen por estas estafas?
Las estadísticas asustan

La “caza de ballenas” funciona porque las personas suelen caer en estas estafas. Los siguientes casos ilustran lo lucrativo que es el negocio de la caza de ballenas para los estafadores:

En el sistema de caza de 2008 de la corte de distrito de los EEUU , 20.000 CEOs fueron comprometidos. Aproximadamente 2000 de ellos cayeron víctimas de este esquema de email lo que llevó a nuevos ataques de hacking en las empresas afectadas, lo que resulta en pérdidas financieras significativas o daños a la reputación de la empresa.

Aquí hay un ejemplo del correo electrónico falso. Parece oficial al ojo inexperto, pero observe la dirección del remitente, que utiliza el dominio de uscourts.com. El dominio oficial del sistema judicial estadounidense es uscourts.gov, no uscourts.com. Además, vale la pena señalar que los asuntos judiciales oficiales nunca se envían por correo electrónico.

ejemplo phishing whaling

En 2015, Mattel perdió $ 3 millones en un programa de caza de ballenas en el que un ejecutivo de finanzas respondió a una falsa solicitud de transferencia de fondos alegando venir del nuevo CEO de la compañía.

En el primer trimestre de 2016, 41 empresas fueron golpeadas con ataques de phishing dirigidos a los registros de impuestos de los empleados.

Más recientemente, el CEO de un fabricante austríaco de piezas para aviones fue despedido después de que la compañía perdiera 40,9 millones de euros (48 millones de dólares) en un ataque de Whalers.

Y a principios de este año, un hombre lituano de 48 años fue acusado de ataques contra Facebook y Google . En sus ataques de phishing, utilizó facturas forjadas, contratos y cartas que parecían haber sido firmadas por una empresa cuyo nombre había imitado registrando una compañía en Letonia con un nombre similar al de una empresa legítima comercial de Asia.

¿Cómo puedo reconocer el Whaling?

Entonces, ¿cómo saber si estoy bajo un ataque de “caza de ballenas”? Estos son algunos de los identificadores de los Whalers más comunes que se deben buscar en los mensajes de correo electrónico entrantes:

  • ¿El nombre del remitente es el mismo que uno de mis nombres de usuario?
  • ¿Es el dominio de envío similar a uno de mis dominios?
  • ¿Está el dominio bien establecido, o es un dominio recién creado usado específicamente para propósitos de ataque?

Si un correo electrónico tiene sólo una de estas características puede no ser necesariamente una amenaza. Por ejemplo, si el nombre del CEO es Juan López, un correo electrónico de otro Juan López podría no ser tan peligroso, especialmente teniendo en cuenta lo común que es este nombre. Pero si recibe un correo electrónico de Juan López que tiene una o más de las otras características enumeradas anteriormente, como una que contiene una solicitud de pago, debe tratarla con un escrutinio adicional.

Evitar los ataques de Whaling es responsabilidad tanto del personal directivo como de los empleados. Seguir estos consejos puede ayudar a proteger tu negocio.

Educar al personal directivo superior

Una de las razones por las que el phishing y la caza de ballenas funcionan, es porque van dirigidos a individuos en posiciones ejecutivas o financieras dentro de una organización. Técnicas inteligentes de ingeniería social se utilizan para formar estos “grandes peces”. La alta gerencia, el equipo de finanzas y los empleados en otros roles clave deben ser educados sobre los efectos de los ataques balleneros y cómo detectarlos. Deben aprender a reconocer las características comunes de los ataques de phishing como las direcciones de remitente falsas, las solicitudes de transferencia de fondos, los archivos adjuntos no reconocidos y los hipervínculos ilegítimos.

Echemos un vistazo a algunos ejemplos.

Ejemplo: Sender registró un dominio similar al del dominio de la empresa.

Como se puede ver en este ejemplo, el dominio de envío es similar a un dominio legítimo, pero si pones más atención, el dominio está a un dígito del dominio real.

requerimiento de pago phishing

Ejemplo: Spoofing en nombre de pantalla

¿El nombre de visualización en el campo De coincide con la dirección de correo electrónico? En este ejemplo, sé que mi banco no posee el dominio “fakedomain.com”. Este es un ejemplo de spoofing de nombre de visualización, que es muy común.

Ejemplo Spoofing en nombre de pantalla

Ejemplo: De direcciones de spoofing

Otra técnica de spoofing común es el spoofing en la dirección de entrada. Cualquier spammer puede falsificar cualquier dirección de correo electrónico, por lo que parece que el mensaje viene de una fuente real. Esto funciona porque los mensajes de correo electrónico contienen dos conjuntos de direcciones: la dirección del sobre y la dirección del encabezado del mensaje. Un ejemplo:

Al enviar una carta a través del correo de los Estados Unidos, el remitente necesita un sobre, la dirección del destinatario deseado y el contenido del mensaje (por ejemplo, el cuerpo o la letra del mensaje). El remitente coloca la dirección del destinatario en el sobre, pero la dirección del destinatario normalmente aparece dentro del sobre también, normalmente en la parte superior de la carta. La dirección en el sobre es donde se envía la carta, no la dirección en la carta en sí. Por lo tanto, estas direcciones pueden ser completamente diferentes.

El correo electrónico funciona de manera similar. Al igual que el Correo de los Estados Unidos, los mensajes de correo electrónico también tienen dos conjuntos de direcciones: las direcciones de los sobres, de dónde proviene el mensaje, a quién se dirige y la dirección del encabezado del mensaje, que es lo que ve el usuario en: campos en el mensaje. Estas direcciones no tienen que coincidir con el mensaje que se va a entregar. La mayoría de los mensajes de spam contienen direcciones de (encabezado) falsas.

En el siguiente ejemplo, el mensaje parece venir de john.smith@example.com, pero un examen más detallado revela que realmente vino de frank.thomas@example.com. La mayoría de los servidores de correo y productos de seguridad de correo electrónico deben tener mecanismos para detectar este tipo de suplantación, como las búsquedas inversas, SPF, DKIM y DMARC, pero los usuarios deben ser conscientes de esta técnica de los spammers.

ejemplo de direccion de spoofing

Mantener la información personal privada

Los estafadores quieren robar tu información personal y financiera, así que buscarán información públicamente disponible en los medios sociales y en otros sitios. El personal directivo debe tener tan poca información personal visible para el público como sea posible, incluyendo cumpleaños, intereses, amigos y familiares. Los usuarios de redes sociales deben revisar su configuración de privacidad para garantizar que estos datos permanezcan ocultos al público.

Establecer un proceso de verificación

Si un empleado recibe un correo electrónico solicitando información financiera, transferencias de fondos u otra información crítica del negocio que normalmente no se maneja por correo electrónico, hay que verificar la solicitud del remitente a través de otro canal, como una llamada telefónica. Las empresas deben tener procesos documentados sobre cómo deben manejarse estas solicitudes.

Proteger contra fugas de datos

Implementar una solución de prevención de pérdida de datos basada en software, como SecurityGateway, que intercepta datos sensibles y lo pone en cuarentena antes de que tenga la oportunidad de salir su red. Las técnicas de prevención de fugas de datos exploran los mensajes de correo electrónico y los archivos adjuntos para obtener información altamente confidencial, como números del Seguro Social o de identificación fiscal, números de cuenta bancaria y números de pasaporte.

¿Preguntas o comentarios?

Las estafas de phishing y Whaling han estado ocurriendo durante años, y continuarán mientras la naturaleza humana dicte que la gente caerá en estas estafas. ¡No seas la próxima víctima, te recomendamos instalar una buena infraestructura de correo electrónico con las herramientas adecuadas para evitar los ataques balleneros!

Si tienes preguntas sobre nuestras recomendaciones de seguridad por correo electrónico, ¡envíanos un comentario! nuestro equipo de soporte podrá responder cualquier duda. Contáctanos llamando al teléfono +34 93 184 53 53 o mediante un email a soporte@interbel.es

Descarga una prueba gratuita de 30 días

SecurityGateway_boxshot_tm (2)

Descarga-gratis-SecurityGateway

Recent Posts

Deja un comentario

Start typing and press Enter to search

Uso de cookies

Utilizamos "cookies" propias y de terceros para elaborar información estadística y mostrarle publicidad personalizada a través del análisis de su navegación. Política de cookies ACEPTAR

Aviso de cookies
Outlook-Connector-4.5.1_MDaemon-en-Windows-10-Creators-Update.jpgMDaemon