Análisis de un correo Phishing
Autor: ESED - It & CyberSecurityParece que los hackers “malos” se hayan reunido y consensuado para determinar que es más fácil atacar a los usuarios directamente, que intentar penetrar en sus sistemas o redes.
Esta es la realidad. Según techrepublic.com un 25% por ciento de los ciberataques han sido llevados a cabo utilizando la famosa técnica de la Ingeniería Social, que junto al Malware (49%) crea esa combinación explosiva y jugosa para un hacker.
Un dato sorprendente revelado por Kaspersky Lab nos dice que el spam equivale al 53% del tráfico de emails actual. Una cifra imponente que nos debería alertar de las inmensas campañas de phishing que se están llevando a cabo de manera global y masiva.
Los ataques de phishing no siempre son masivos, de hecho, los más efectivos son los dirigidos, estudiados y meditados. Estos ataques en concreto, se basan en la técnica antes mencionada, la Ingeniería Social. ¿En qué consiste la técnica? Muy fácil. Consiguen de una forma u otra manipular al usuario para que haga algo en concreto, desde hacer clic a un link, a descargar un archivo .exe, hasta hacer una transferencia a un monedero de Bitcoins.
Caso práctico de phishing
A continuación, os presentaré un correo malicioso no demasiado elaborado y os explicaré cómo determinar que, en efecto, es phishing.
Empecemos por el remitente y el título del mensaje.
BANCO ONLINE
Esto parece un remitente muy genérico. ¿Por qué no utiliza el nombre del banco directamente?
[EVO BANCO] ALERTAS….
¿Evo Banco? ¿Tenemos alguna cuenta en Evo Banco?
Si hacemos doble click, podemos ver su contenido:
Parece que nuestra cuenta inexistente de “Evo Banco” ha sido suspendida…
Lo más divertido es descubrir que el mensaje anterior es en realidad una imagen y que haciendo clic en ella te redirige a un link acortado.
¿Por qué iba un banco a utilizar un servicio público de acortador de links?
Utilizando un método seguro accedemos al link e investigamos más a fondo:
Microsoft SmartScreen nos advierte de que el sitio ha sido denunciado como inseguro. No siempre podremos contar con la ayuda de nuestro antivirus para identificar al instante que un sitio no es seguro.
La web reportada como insegura “yazinebyaqhba.com” tal vez haya sido creada simplemente para lanzar este ataque, pero en muchísimos casos, la web insegura es una web legítima vulnerada y “robada” por un hacker. Así es, los hackers vulneran páginas web legítimas para meter su código y utilizarlas en su beneficio. ¿Cómo lo hacen? Bueno, eso ya es otra historia, pero la gran mayoría lo consigue a través de exploits y vulnerabilidades del software.
Evitar ataques de este tipo sin un sistema de phishing y spam es posible, pero requiere prestar mucha atención. El correo anterior es fácil de detectar, pero hay muchos otros que son dirigidos y no serán tan benevolentes. Por eso, es recomendable utilizar algún sistema capaz de filtrar y descartar estos correos. Para más información, no dudes en contactarnos, disponemos de una solución íntegra que es capaz de dejar la bandeja de entrada prácticamente libre de spam.