A la caza de los cibercriminales: Recomendaciones para evitar y mitigar los ataques de phishing




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

El phishing es una técnica de ingeniería social que consiste en el envío de un email en el que los ciberdelincuentes suplantan la identidad de una compañía conocida o de una entidad pública para solicitar información personal y bancaria al usuario. A través de un enlace incluido en el correo electrónico intentan redirigirle a una página web fraudulenta para que introduzca su número de tarjeta de crédito, datos de su identificación, la contraseña de acceso a la banca digital, etcétera.

Estos correos electrónicos fraudulentos suelen incluir el logotipo o la imagen de marca de la entidad, contienen errores gramaticales e intentan transmitir urgencia y miedo para que el usuario realice las acciones que le solicitan.

Un email de tipo phishing también puede llevar un archivo adjunto infectado con software malicioso. El objetivo de este malware es infectar el equipo del usuario y robar su información confidencial.

El phishing sigue siendo la herramienta más popular entre los cibercriminales y los estafadores. Casi todos los ataques involucran phishing: sitios web, cuentas o envíos de correo con archivos o enlaces maliciosos.

Por lo anterior es importante tomar en cuenta las siguientes acciones para poder identificarlo y mitigarlo.

Comience analizando el tipo de ataque de phishing, la línea de tiempo, el método de distribución, el contenido malicioso y los indicadores principales (correo electrónico, nombre del archivo adjunto, enlaces, dominios, etcétera).

Luego, examine el señuelo que engañó a la víctima para que abriera el correo electrónico o el sitio web malicioso. Generalmente, el señuelo es un correo electrónico, un código malicioso o un sitio web de phishing. Busque elementos como:

  • Archivos adjuntos como documentos de pago falsos
  • Enlaces de suplantación de identidad, que a menudo se disfrazan de URL legítimas
  • Sellos de tiempo enviados / recibidos, que ayudan a construir un cronograma de incidentes y, a veces, determinan la zona horaria del remitente
  • Encabezados de correo electrónico (Envelope-From, Return-Path, Reply-to, Receive-From), que pueden permitirle extraer la dirección de correo electrónico y el dominio reales del atacante, incluso a partir de detalles de correo electrónico falsificados
  • Direcciones IP y dominios utilizados para comunicarse con servidores de comando y control y recursos externos
  • La información de contacto de los desarrolladores que se deja en el código (apodos, direcciones de correo electrónico, contactos de mensajería)
  • Comentarios de texto, notas, funciones de software inactivas, nombres de variables y funciones, estilo de codificación
  • Analizar los datos de registro de WHOIS disponibles y los registros de DNS
  • Examinar el código de la página web
  • Examinar formularios e interfaces de autorización
  • Seguimiento de la actividad de la red cuando la aplicación cliente interactúa con el servidor web de phishing
  • Se escanean puertos, se busca directorios abiertos, se realiza fuzzing de URL y descubrimiento de contenido, se examinan certificados SSL y se buscan subdominios.

El objetivo principal de analizar los objetos de origen es encontrar una pista que ayude a atribuir la campaña de phishing. Estos van desde direcciones IP externas y nuevos dominios hasta identificadores publicitarios, apodos, números de teléfono y correos electrónicos.

Los ciberdelincuentes no dejan su dirección real o número de teléfono en el código del sitio de phishing ni envían correos electrónicos desde sus propias cuentas. Sin embargo, cualquier acción deja un rastro, y el trabajo del analista es encontrar tantos rastros como sea posible y conectar los puntos.

A menudo, incluso los cibercriminales más exitosos tienen trabajos normales y llevan una vida normal. Intentan no mezclar sus actividades legales y delictivas. Aquí es donde surgen algunas inconsistencias que ayudan a los investigadores a reconstruir cadenas de eventos y conectar los dos lados de la personalidad de un actor de amenazas.

Los atacantes son seres humanos y tienden a cometer errores, especialmente en las primeras etapas de sus carreras criminales. Es por eso que los fallos como configuraciones incorrectas del servidor, información de contacto personal especificada por error y apodos pueden identificar el lado legal de un cibercriminal.

En este punto, si ha sido constante, tiene una base de datos de pistas como dominios, apodos, cuentas en foros de ciberdelincuentes y números de teléfono. Aquí entra en juego la inteligencia de código abierto — conocida como OSINT — . Los indicadores comienzan a fusionarse en una larga cadena que va desde el ataque de phishing original hasta una persona o grupo específico.

También se debe construir y probar hipótesis para crear una cadena de vínculos desde la actividad de phishing hasta personas específicas. Incluso si la investigación identifica a una persona en especial, siga buscando información independiente adicional que ayude a demostrar su participación. Después de confirmar sus hipótesis con al menos tres hechos independientes, puede decir que identificó con éxito al atacante.

No existe una fórmula mágica cuando se trata de prevenir ataques de phishing. Pero hay medidas que toda empresa debería tomar, como por ejemplo, crear una cultura anti-phishing. Al crear una cultura anti-phishing entre todos los empleados de una empresa, se puede capacitar a las personas para detectar mensajes sospechosos e informarlos a su departamento de sistemas. Recordemos que la seguridad informática de cualquier organización es una tarea de todos.

Para más información, visite: https://www.silikn.com/