Geekly articles weekly

Speech fishing: analizamos los métodos de ataque y los métodos de protección contra ellos.

imagen


El phishing es un tipo de fraude en línea que utiliza los principios de la ingeniería social. Este es un correo electrónico, llamada, SMS o mensaje en un mensajero o red social, tratando de engañar al usuario para que transmita sus datos confidenciales, descargue algunos archivos maliciosos o transfiera dinero. Para hacer esto, el remitente parece ser otra persona, de quien tal solicitud suscita menos sospecha.


El spear phishing es una subespecie de phishing dirigida a un círculo más reducido de personas. Esto puede ser algún tipo de organización, un grupo de sus empleados o un individuo, dependiendo de las intenciones del atacante. El mensaje recibido en este caso estará diseñado específicamente para un círculo limitado de personas. Durante dicho ataque, un atacante podría intentar:


  • para obtener datos confidenciales (datos de tarjetas bancarias para robar dinero);
  • instalar malware en el dispositivo de destino;
  • para obtener secretos y datos confidenciales de la organización con el fin de chantajear o revender a los competidores;
  • obtener datos militares

Diferencias entre phishing y phishing dirigido


  1. Selección de objetivos. El phishing funciona según el principio de "rociar y orar" (difundir y esperar): un gran número de personas dispersa un mensaje preparado con la esperanza de que al menos uno de ellos pueda ser engañado. El phishing dirigido es un ataque dirigido. Su objetivo es una determinada empresa, ciertos empleados o una persona específica y, por lo tanto, solo se les enviará un mensaje.
  2. El nivel de habilidad del atacante. El phishing requiere menos habilidades y está diseñado inicialmente para una gran cantidad de fallas. El phishing dirigido, como ataque dirigido, es más complejo y utiliza técnicas más avanzadas, y también requiere más entrenamiento preliminar.
  3. La capacidad de detectar. También se desprende del párrafo anterior que el phishing dirigido es más difícil de detectar que el phishing regular.
  4. El propósito del ataque. Como resultado de cualquiera de los dos ataques, un atacante puede buscar obtener inicios de sesión, contraseñas u otros datos, pero el phishing implica una ganancia rápida en beneficios, por ejemplo, dinero. Un atacante en este caso es poco probable que esté interesado en obtener diez cuentas de los correos de personas desconocidas. Con el phishing dirigido, incluso si el objetivo es una contraseña de correo electrónico, este será un paso significativo. Quizás el atacante sabe que la información valiosa se almacena en este correo, pero es posible que esto sea solo una etapa de un ataque multinivel.

Curso de ataque


Considere el progreso de un ataque de phishing dirigido utilizando el ejemplo de un mensaje de correo electrónico.


Primero, el atacante realiza mucho trabajo preliminar para encontrar información sobre el objetivo. Puede ser la dirección de correo electrónico y los nombres de contratistas o colegas, pasatiempos, compras recientes u otras cosas que se pueden aprender de las redes sociales: cualquier información que ayude a confundir al destinatario en el cuerpo de la carta y lo haga creer en su veracidad.
Luego, armado con todos los datos obtenidos de fuentes accesibles, el atacante redacta una carta de phishing en nombre de alguien con quien la víctima está familiarizada (colega, familiar, amigo, cliente, etc.). El mensaje enviado debe crear un sentido de urgencia y convencer al destinatario de enviar información personal en la respuesta, ingresarla haciendo clic en el enlace de la carta o descargar el malware de los archivos adjuntos a la carta.
En algunos casos, en un escenario ideal para un atacante, después de que la carta "funcionó", se instala una puerta trasera en la máquina del objetivo, lo que le permite robar la información necesaria. Se recopila, se cifra y se envía al atacante.


Métodos de protección


Medios técnicos de protección:


  1. Filtro de spam Se puede instalar en el servidor de correo. Algunos correos electrónicos de phishing se pueden identificar por su contenido. Es cierto que si intenta filtrar todos los correos electrónicos no deseados de esta manera, existe una alta probabilidad de falsos positivos, ya que los correos electrónicos de phishing (especialmente con phishing dirigido) imitan mensajes legítimos.
  2. Verificación de las direcciones de los remitentes de la carta. El remitente especificado en la carta y el remitente real en el encabezado pueden no coincidir. El filtro también puede verificar, por ejemplo, que el dominio del remitente es similar al dominio de la empresa, pero está mal escrito.
  3. Escanee archivos adjuntos en letras en busca de virus y en el sandbox. Antes de que el destinatario reciba una carta que contenga el archivo adjunto ejecutable, el antivirus lo verifica o se inicia en el entorno limitado.
  4. Letras mayúsculas que contienen enlaces y archivos ejecutables en archivos adjuntos. Una variación más dura del párrafo anterior, pero realmente se usa en algunos lugares y protege contra algunos vectores de ataque.

No importa qué medidas técnicas de protección se tomen, una carta no deseada aún puede estar en el buzón. Por lo tanto, vale la pena prestar atención a las cosas sospechosas en las letras:


  1. Remitente


    • Esta es una persona con la que generalmente no se comunica.
    • Usted no está familiarizado con el remitente y ninguno de los que confía lo ha confirmado.
    • No tiene ninguna relación comercial con el remitente y nunca se ha comunicado antes.
    • Una carta de alguien fuera de la empresa y no se aplica a sus responsabilidades laborales.
    • Usted conoce al remitente, pero la carta está escrita de una manera muy inusual para esta persona.
    • El dominio del remitente se detalla (por ejemplo, sbrebank.ru).

  2. El destinatario


    • Entre los destinatarios, además de usted, hay otras personas, pero no está familiarizado con ninguna de ellas.

  3. Referencias


    • Cuando pasa el mouse sobre el enlace indicado en la carta, está claro que, en realidad, el enlace en el que hará clic cuando haga clic es completamente diferente.
    • Además del enlace en la carta no hay nada más.
    • El enlace contiene una dirección similar a un sitio conocido, pero cometió un error.

  4. Fecha de recibo.


    • Correo electrónico recibido en momentos inusuales. Por ejemplo, se refiere al trabajo, pero se envió a altas horas de la noche, fuera del horario laboral.

  5. Asunto de la carta.


    • El tema de la carta no se correlaciona con el texto de la carta.
    • El tema está marcado como respuesta a una carta que en realidad nunca envió.

  6. Archivos adjuntos.


    • El remitente ha adjuntado un archivo al mensaje que no esperaba (generalmente no recibe este tipo de archivo adjunto de esta persona) o que no tiene nada que ver con el texto del mensaje.
    • Un archivo adjunto tiene una extensión potencialmente peligrosa. El único tipo de archivo seguro es .txt.

  7. El contenido de la carta.


    • El remitente solicita seguir el enlace o abrir el archivo adjunto para evitar consecuencias negativas o, por el contrario, obtener algo valioso.
    • El texto parece inusual o contiene muchos errores.
    • El remitente solicita seguir el enlace o abrir un archivo adjunto que parece extraño o ilógico.
    • El remitente le pide que envíe datos confidenciales por correo o SMS.


Obviamente, no es suficiente conocer y seguir estas reglas. También es necesario transmitir esta información a otras personas en la empresa. Es mucho más fácil resistir un ataque cuando se sabe que puede suceder. Es importante capacitar a los empleados y contarles sobre los ataques de phishing. También puede ser útil realizar pruebas sociotécnicas de vez en cuando para asegurarse de que la información se haya adquirido con éxito.


Resumen


Es más difícil resistir los ataques de la ingeniería social, ya que las personas se convierten en la frontera final. Un atacante también puede conocer todos los métodos técnicos de protección, por lo que puede inventar una forma de evitarlos. Sin embargo, la conciencia e implementación de reglas simples reduce en gran medida el riesgo de un ataque exitoso.
¿Quiere asegurarse de que sus sistemas estén bien protegidos? ¿O le interesa cómo transmitir información a los empleados? Póngase en contacto con nosotros, estaremos encantados de realizar pruebas sociotécnicas o ayudar con la capacitación y hablar sobre tales ataques.

Source: https://habr.com/ru/post/472368/

More articles:


All Articles