Cómo detectar y prevenir el phishing

Ya sabéis que el phishing consiste en el envío de correos electrónicos que intentan engañar al usuario y obtener sus datos privados como contraseñas, detalles de tarjetas de crédito… para hacer uso de ellas de forma fraudulenta. Hoy en día, sigue siendo uno de los métodos de ataque más empleados.

A continuación vamos a ver diferentes señuelos que son los más comunes que se emplean en el phishing a través de correo electrónico.

Factura adjunta

Más de la mitad de los ataques se dan cuando supuestamente el usuario ha  perdido dinero o también conocido como money out.  Este señuelo utiliza la expectación provocada por el mismo proceso de pago para engañar a los destinatarios e incitarles a abrir un fichero adjuntado o un enlace puesto en el email. El más utilizado es cuando se adjunta una factura, seguido de la transacción. También son muy comunes los relacionados con pedidos que el usuario no ha realizado. Además, de manera frecuente se incluye un documento adjuntado con código malicioso, el cual forma la mayoría de las veces parte de una macro maliciosa que tiene que ser habilitada por el usuario. En muchas ocasiones este mismo código malicioso se encarga de descargar otro malware.

No abrir documentos phishing

El segundo tipo más utilizado para atraer a las víctimas se realiza a través de  faxes y notificaciones de archivos escaneados que aparecen como urgentes. El fax está vinculado a las líneas telefónicas y de audio, las cuales no suelen estar asociadas al malware.

Las notificaciones falsas de compra y envío siguen siendo muy populares. En muchas ocasiones hacen uso de marcas conocidas para ofrecer un aspecto más realista y que el usuario no sea consciente de que se trata de un fraude.

Un gran número de empresas utilizan las ventas y subastas online como principal medio para comerciar, por lo que hay muchas posibilidades de que el receptor abra correos electrónicos falsos que no corresponden con el proveedor original del producto.

Las notificaciones de envío también incluyen documentos adjuntados con los falsos detalles del pedido. Cuando el receptor abre ese documento un exploit se ejecuta automáticamente y se muestra un botón de “habilitar contenido” que muestra los contenidos del documento. Una vez habilitados todos los contenidos del documento la infección por malware ya se ha producido.

Pedidos y transacciones

En cuanto a las  transacciones de negocios, aunque son similares a las facturas y confirmaciones de pedidos, se diferencian en que el atacante propone un potencial acuerdo comercial, pidiendo una lista de precios, acuerdos de importación y exportación, contratos, etc. El objetivo es el de invitar al receptor a abrir directamente el fichero adjunto, que puede ser un fichero de texto o bien una hoja de cálculo, para que el receptor vea los detalles de la falsa solicitud. Esto da la ventaja a los atacantes de poder enviar mensajes cortos y simples. Y como siempre el archivo adjunto contiene un código malicioso que da paso a la infección una vez que se haya abierto.

Ojo con las operaciones comerciales, ya que suelen apoyarse en una URL que dirige al fichero malicioso. Este tipo de señuelo de phishing suele suplantar a un banco o una institución financiera y engaña al usuario haciéndole creer que ha recibido noticias a través de correo electrónico o bien algún pago online. Cuando se abre dicho documento para corregir o verificar la información, el código malicioso infecta el ordenador con un ransomware o un troyano bancario.

Consejos y recomendaciones para prevenir el phishing

Para ayudar a reducir el número de amenazas que llegan a la red de una impresa, sería bueno invertir en soluciones de gateways para el correo capaces de detectar y prevenir ataques avanzados y aquellos que no están involucrados con ningún malware.

No permitir la entrega de emails con código ejecutable adjuntado, ni tampoco permitir la compartición de código a través de email.

Promulgar reglas simples para bloquear ficheros adjuntos .exe o .js ayuda a prevenir la red de ficheros maliciosos enviados en formatos corrientes.

Implementar soluciones de seguridad que puedan correlacionar la actividad a través de vectores de amenazas.

 

Community Manager y apasionada de las redes sociales

 

Acerca de

Nethive es una consultora tecnológica independiente especializada en la prestación de servicios informáticos con amplia experiencia en el sector de las telecomunicaciones.

En este blog nuestros técnicos publican información relevante sobre la industria tecnológica internacional, imprescindible para conocer, por ejemplo, ciberataques y riesgos que puedan comprometer la seguridad de su empresa.

Solicitar presupuesto sin compromiso

Ofrecemos servicios informáticos que ayudarán a su empresa a ser más eficiente, efectiva y competitiva. Si cree que podríamos encajar en sus necesidades, deje que nos pongamos en contacto.