de los ataques
aCtuales de phishing
dirigidos
introducción
“¿Este mensaje es un engaño o es legítimo?” Esta es la pregunta que hacen cada vez con mayor frecuencia los empleados y, en especial, los
ejecutivos. ¿Es esto una paranoia desmedida o una angustia justificada? Los ataques recientes, que incluyen ataques a un laboratorio del gobierno federal, a un gigante de marketing por correo electrónico y a una organización líder en tecnología de seguridad, dan crédito a la segunda opción y son evidencia de que los delincuentes informáticos han ajustado sus tácticas de phishing de tal manera que traspasan las defensas de seguridad de correo electrónico tradicionales. De hecho, aunque el correo electrónico sigue siendo muy vulnerable a las amenazas , la seguridad continúa basada en gran medida en los principios y las tecnologías que tienen más de una década de antigüedad. Es necesario que las organizaciones adopten un nuevo enfoque en relación a la seguridad de correo electrónico, en especial ante la proliferación de ataques de phishing más nuevos y más dirigidos.
el modelo tradicional de
ataque de phishing
Durante mucho tiempo, los ataques de phishing han seguido un modelo confiable y comprobado basado en un enfoque masivo: se envían grandes volúmenes de mensajes de correo electrónico que contienen malware como un adjunto o en el cuerpo del mensaje a variados destinatarios. El proceso es el siguiente:
1. un delincuente informático envía un mensaje de correo electrónico masivo a miles de usuarios.
2. una pequeña porción de los destinatarios actúa sobre el mensaje (p. ej., descarga un adjunto que
contiene un virus).
3.el equipo del destinatario se infecta con un
troyano u otra forma de malware.
Mensaje de spam masivo
Se descarga un archivo malicioso como adjunto
El equipo del usuario se infecta con troyanos u otro malware
defensas tradicionales contra
ataques de phishing
Aunque el modelo tradicional de ataques de
phishing ha sido efectivo durante muchos años, su
eficacia ha ido disminuyendo. Ahora los usuarios pueden reconocer e ignorar estos ataques, después de haber recibido durante muchos años correo electrónico que supuestamente provenía de parientes lejanos de tierras remotas.
Asimismo, las soluciones de seguridad de correo electrónico tradicionales son ahora capaces de eliminar estos esquemas mediante el empleo de tecnologías tales como:
• Reputación de correo electrónico del remitente
para identificar direcciones que se sabe que diseminan spam.
• Análisis léxico para analizar el contenido de los
mensajes de correo electrónico que contienen combinaciones de palabras y patrones que comúnmente se encuentran en el spam.
• Antivirus para la defensa contra virus conocidos
que residen en adjuntos de correo electrónico.
Estas técnicas de defensa se han vuelto tan confiables y eficaces que muchas soluciones de seguridad de correo electrónico líderes ahora garantizan niveles de detección del 99% para todo el spam y del 100% para todos los virus conocidos. Como resultado de esto, la mayoría de los usuarios ya no reciben más estos mensajes en sus bandejas de entrada.
la evolución de los ataques
de phishing
Si bien estas exitosas defensas han logrado disuadir a algunos delincuentes informáticos, la mayoría ha respondido modificando el modelo de ataque de phishing de manera muy sutil, pero a la vez significativa. Aunque el enfoque básico permanece igual, los ataques de phishing actuales son de menor volumen, están muy personalizados y tienen una apariencia más legítima. Además, el malware ahora se transmite a través de una URL embebida en el propio correo. reputación del remitente Se bloquean los mensajes de correo electrónico de spammers sospechosos, como readjustedha6@ 12481bmatter.com. Análisis léxico Se analizan ciertas combinaciones de palabras y patrones que comúnmente se encuentran en el spam. antivirus
Analiza los archivos binarios y adjuntos maliciosos, como el archivo ‘copy.docx’,
con firmas de virus conocidas.
ender Reputation
el nuevo proceso es el siguiente:
1. los delincuentes informáticos escogen a sus destinatarios reuniendo información sobre
ellos en sitios web de redes sociales.
2. los delincuentes informáticos comprometen un servidor o dominio legítimo, donde los
destinatarios elegidos pueden tener una relación existente, para tener acceso a una dirección de correo electrónico legítima y, por ende, con una buena reputación.
3. los delincuentes informáticos utilizan la información reunida para crear mensajes de phishing que son enviados desde una dirección de correo electrónico con buena reputación a destinatarios específicos.
4. un porción importante de destinatarios interactúa sobre el correo electrónico haciendo
clic en una URL incorporada que los redirige a un sitio web legítimo pero comprometido que permite descargar malware.
5. el malware busca vulnerabilidades de la red,
posiblemente para desactivar las defensas de seguridad y crear un acceso secundario a los sistemas internos para capturar información valiosa de una empresa.
6. se roban los datos confidenciales, tales como información de propiedad intelectual y datos de clientes.
Por qué fallan las defensas
tradicionales
Al modificar ligeramente el modelo tradicional de ataque de phishing, los delincuentes informáticos han tenido éxito al lograr frustrar las medidas de seguridad tradicionales:
• La reputación de correo electrónico del remitente no logra bloquear el mensaje de
phishing porque se envía desde una dirección
que tradicionalmente no está asociada con mensajes maliciosos o masivos.
• El análisis léxico falla porque el mensaje de
phishing no contiene ninguna combinación
de palabras que comúnmente se asocie con el spam.
• el antivirus falla porque el malware no está
dentro del mensaje, sino que se envía por una página web a través de una secuencia
de comandos ofuscada.
El nuevo modelo de ataque de phishing ha hecho posible que los delincuentes informáticos atacaran organizaciones tales como Oak Ridge National Laboratory, conocida por sus investigaciones en temas de seguridad cibernética que incluyen malware, vulnerabilidades y phishing. En un ataque ocurrido en abril de 2011, 57 de sus usuarios hicieron clic en un vínculo malicioso que aprovechó una
El delincuente informático reúne información a través de sitios web de redes sociales.
El delincuente informático asume el control de un servidor comercial legítimo.
El delincuente informático crea mensajes
de phishing dirigidos.
Un destinatario desprevenido hace clic en una URL embebida en un mensaje de correo electrónico. El delincuente informático infiltra troyanos u otro malware en la red empresarial. La información confidencial es transmitida al delincuente informático.
vulnerabilidad del día cero en Internet Explorer (IE) y dejó al descubierto los números del seguro social y las fechas de cumpleaños de las personas. Ataques similares dejaron al descubierto información
confidencial en el gigante de marketing Epsilon y en la compañía de seguridad RSA.
mejores prácticas para
detectar los ataques actuales
de phishing
Ante la proliferación de ataques de phishing dirigidos y de poco volumen, las organizaciones necesitan reexaminar su postura en relación con la seguridad del correo electrónico. A continuación se presentan algunos puntos de partida para ayudar a las organizaciones a adaptarse y minimizar el riesgo de un ataque:
inteligencia web en el gateway de
seguridad de correo electrónico
Casi todos los ataques de phishing – el 92% – ahora contienen un componente web para eludir las defensas antivirus tradicionales de gateway de correo electrónico. Las URL que están incorporadas en estos mensajes a menudo conducen a sitios web que hospedan malware ofuscado. El análisis de la web en tiempo real y una base de datos actualizada de sitios web buenos y malos conocidos, que incluye sitios de redes sociales, son esenciales para evitar que las amenazas combinadas de la web y el correo electrónico ingresen en las bandejas de entrada de los usuarios finales.
recomendación: Combine el antivirus de gateway
con inteligencia proactiva sobre amenazas de la web en la tecnología de seguridad de correo electrónico como parte de una estrategia de defensa de varias capas.
análisis de amenazas con un clic
Los ataques de phishing modernos logran su cometido principalmente porque los mensajes de
phishing ahora contienen vínculos embebidos que
redirijen a redes bot de IP dinámicas o páginas web que hospedan código dinámico – dos técnicas que pueden eludir incluso el análisis de malware del gateway más férreo. Por ejemplo, un mensaje enviado a medianoche contiene un vínculo a una página web que no presenta ninguna amenaza mediante el escaneo de seguridad inicial realizado en el gateway. Sin embargo, la misma página web puede injectarsele un código malicioso cuando el destinatario hace clic en el vínculo a la mañana siguiente. Todas las semanas, se envía un promedio de más de 700 códigos de malware utilizando este método de ataque, que los principales motores antivirus no logran detectar.
Ante la proliferación de ataques
de phishing dirigidos y de poco
volumen, las organizaciones necesitan
reexaminar su postura en relación con
la seguridad de correo electrónico.
reputación del remitente Example@ emailinfo.example. com no es conocido por diseminar spam. antivirus En un ataque basado en secuencia de comandos en página web; no hay firmas conocidas ni antecedentes de ataques similares. Análisis léxico No hay combinaciones de palabras ni patrones de spam comúnmente utilizados.
recomendación: Aísle y aplique un sistema
de ejecución de código en entorno seguro (sandboxing) a los mensajes sospechosos que contienen una URL para realizar un análisis en tiempo real y así reducir el riesgo de seguridad y, al mismo tiempo, no aumentar los falsos positivos ni comprometer la experiencia de los usuarios finales.
análisis en tiempo real de la
transmisión de datos
Los delincuentes informáticos modernos están interesados en datos, pero no en cualquier dato. Buscan propiedad intelectual, guías de diseño de productos y cualquier cosa que pueda ser de vital importancia para el éxito de una empresa. Las organizaciones necesitan una línea de defensa adicional en su infraestructura de correo electrónico y en los dispositivos de acceso de datos, como tablets y teléfonos inteligentes, para poder supervisar el flujo de información y evitar la pérdida de datos.
recomendación: Analice todos los datos salientes
para bloquear automáticamente, poner en cuarentena o cifrar los datos confidenciales, y monitoree patrones que puedan indicar una fuga parcial pero constante de información importante.
Capacitación inmersiva de
usuarios finales
Instalar las últimas soluciones de seguridad no tiene ningún sentido si los usuarios no practican la seguridad cibernética. Recuerde que la línea divisoria entre la vida personal y la vida laboral de un usuario se ha reducido o ha desaparecido por completo. Esto significa que los usuarios pueden estar bien protegidos en su trabajo, pero no lo están cuando controlan su correo electrónico personal en su casa en la computadora portátil que la empresa les proporcionó. La mejor manera de hacer que “piensen en la seguridad” es generar conciencia dentro de la organización sobre las estrategias y tácticas que actualmente usan los delincuentes informáticos.
recomendación: Proporcione a los empleados
ejemplos de ataques de phishing del mundo real y permita la posibilidad de trasmitir opiniones y capacitación inmediatas y orientadas a los que son víctimas de estas prácticas.
Cantidad de virus detectados por Websense Advanced Detection, NO detectados por los 5 motores antivirus más importantes (17 a 23 de abril).
© 2012 Websense Inc. Todos los derechos reservados. Websense, el logotipo de Websense y ThreatSeeker con marcas comerciales registradas y TRITON, TruHybrid, Security Labs y TruWeb DLP son marcas comerciales de Websense, Inc. Websense cuenta con varias otras marcas registradas en los Estados Unidos y a nivel internacional. Todas las demás marcas comerciales son propiedad de sus respectivos dueños.
EN 20/09/2012 Apr 17 180 320 0 480 640 Apr 17 222 190 255 28 3 800
Apr 18 Apr 19 Apr 18 Apr 19 Apr 20 Apr 23