El phishing sigue siendo una de las formas de malware más extendidas y una de las mayores ciberamenazas por el número de ataques que se producen contra usuarios y empresas y con todo tipo de motivaciones, desde los publicitarias con spam, las económicas, al robo de datos para espionaje como vimos en el ataque a la red del Ministerio de Defensa español provocado por un simple phishing.
Los ciberdelincuentes no dejan de estudiar nuevas técnicas para hacernos caer en sus redes. Nunca mejor dicho porque el phishing persigue principalmente la suplantación de identidad de las víctimas. En varias ocasiones te hemos ofrecido artículos especiales con sus principales tipos a los que deben enfrentarse consumidores y empresas como manera de protegerse y ofrecer la mejor respuesta.
Tres técnicas de phishing encontradas en 2019
En su resumen anual de tendencias de malware y ciberseguridad, Microsoft explica que los intentos de phishing ascendieron al 0,6% de todos los correos electrónicos analizados a nivel mundial. Es una cifra enorme. También señaló tres de las nuevas técnicas de phishing descubiertas que confirman que los atacantes no cesan de reinventarse:
Secuestro de resultados de búsqueda
La primera es una operación de malware de varias capas a través de la cual una banda criminal envenenó los resultados de búsqueda de Google.
El esquema fue el siguiente:
– Los ladrones canalizan el tráfico web secuestrado desde sitios legítimos a sitios web que controlan.
– Los phishers envían correos electrónicos a las víctimas uniendo los resultados de búsqueda de Google para ese término específico.
– Si la víctima hace clic en el enlace de Google, y luego en el resultado principal, aterrizarían en un sitio web controlado por atacantes que lo redirige a una página de phishing.
Uno podría pensar que alterar los resultados de búsqueda de Google requiere un enorme esfuerzo, pero en realidad fue bastante fácil, ya que los atacantes no apuntaron a palabras clave de alto tráfico, sino que se centraron en galimatías como «hOJoXatrCPy». Además, Microsoft dijo que «la campaña se hizo aún más sigilosa por el uso de resultados de búsqueda específicos de la ubicación».
Abuso de páginas de error 404
Otro truco inteligente utilizado por los phishers este año fue visto por primera vez en una campaña de phishing que Microsoft detectó en agosto y documentó en este hilo de Twitter. Esta campaña es tremendamente astuta. Si bien la mayoría de los correos electrónicos de phishing incluyen un enlace a la URL de phishing a la que quieren atraer a los usuarios, para esta campaña, los atacantes incluyeron enlaces que apuntaban a páginas inexistentes.
La idea era que cuando los sistemas de seguridad de Microsoft escanearan el enlace, recibieran un error 404 (porque el enlace no existía), pero los consideraría como seguros. Sin embargo, si un usuario real accediera a la URL, el sitio de phishing detectaría al usuario y lo redirigiría a una página de phishing real en lugar de la página de error 404 estándar del servidor.
Microsoft dijo que cuando este truco se combinaba con técnicas como los algoritmos de generación de subdominios y el cambio del dominio principal a intervalos regulares, los atacantes podían generar «URL de phishing prácticamente ilimitadas».
Phishing basado en MitM
Un tercer truco que Microsoft quería destacar como un ataque de phishing inteligente este año fue el uso de un servidor man-in-the-middle (MitM). «Una campaña de phishing en particular en 2019 llevó la suplantación al siguiente nivel. En lugar que los atacantes copiaran elementos del sitio web legítimo falsificados, un componente de intermediario capturó información específica de la compañía como logotipos, pancartas, texto e imágenes de fondo».
El resultado fue la misma experiencia que la página de inicio de sesión legítima, lo que podría reducir significativamente las sospechas. Sin embargo, esta técnica basada en MitM no es perfecta, ya que la URL del sitio de phishing todavía es visible en la barra de direcciones, al igual que en cualquier otro sitio de phishing.
Esto significa que incluso si los usuarios pudieran ser engañados por la página de inicio de sesión que se ve perfectamente, pueden evitar desastres inspeccionando de cerca la URL de la página.