Easy Solutions, la compañía de la Protección Total contra Fraude®, dio a conocer su visión acerca del aumento de ese tipo de ataques internos, Spear Pishing y la forma de combatirlos.
Durante la mayor parte del 2015, tanto el FBI como el Servicio Secreto de EE.UU. emitieron alertas acerca del incremento sin precedente del spear phishing en este año. Recientemente, el Servicio Secreto publicó un nuevo boletín, advirtiendo una vez más sobre cómo estaban detectado un aumento significativo en la frecuencia, sofisticación y el monto de las pérdidas asociadas con estos nuevos ataques.
La preocupación sobre el spear phishing se relaciona directamente con estafas BEC o Business E-mail Compromises (por sus siglas en inglés), ya que muchos han tratado de suministrar protección contra estos ataques mediante mecanismos como el filtrado de emails y el SPF (Sender Policy Framework). “Ciertamente ambos han ayudado a fortalecer la autenticación de emails, pero se requiere de algo más contra la creciente sofisticación de los ataques”, afirmó David López, director de Ventas para Latinoamérica de Easy Solutions.
Una mejor seguridad del email es esencial, ya que los hackers han iniciado el despliegue de métodos que aprovechan las redes sociales y los sitios de “networking”, tales como LinkedIn, para identificar elementos del personal que puedan convertirse en blancos potenciales.
El más reciente boletín del Servicio Secreto resalta dos tipos de estafas BEC que crecen en popularidad. El primero solo requiere la simple falsificación de una dirección de email. El segundo requiere que el atacante tome control de todo el sistema de email de una institución (mediante una infección de malware), el cual es un complejo proceso que requiere de tiempo y recursos por parte del atacante. “Usualmente una estafa lleva a la otra, así que si el usuario está en capacidad de detener la primera, también estará reduciendo las probabilidades de otros ataques”, agregó David López.
Los criminales siempre van a buscar el punto de acceso más fácil, así que al eliminar su capacidad para falsificar direcciones de email, les está reduciendo su habilidad para lanzar esquemas de fraude, haciendo que renuncien y salgan en busca de otras víctimas.
Un ejemplo del primer tipo de estafa mencionado, es falsificar correspondencia entre el CEO y el CFO, con el fin de buscar aprobación de facturas falsas. Este tipo de correspondencia es muy común, y muy a menudo es delegada a otros departamentos para su proceso. Para cuando el CFO se da cuenta que el CEO no envió la factura, la parte que procesa ya ha realizado los pagos de acuerdo con las instrucciones suministradas en el email. Normalmente estos emails incluyen enlaces a un sistema de almacenamiento de archivos con el fin de visualizar la factura, pero así mismo, pueden ser utilizados para insertar una aplicación maliciosa en la red de la institución con la cual pueden infiltrar el sistema de email, extraer datos o conducir otras acciones ilegales.
Un nuevo estándar que está comprobando su efectividad contra el spear phishing es DMARC o Autenticación, Reporte y Conformidad de Mensajes basada en el Dominio.
El estándar DMARC está diseñado para ayudar a combatir el spear hishing al identificar y bloquear, basándose en un conjunto de políticas, los mensajes que aparenten ser de dominios confiables e incluso internos. El aspecto más valioso de DMARC son los datos y la visibilidad que brinda sobre los propios sistemas de email de una institución y sobre los reportes generados acerca de campañas de fraude que intentan entregar emails fraudulentos. Con este conocimiento, el usuario podrá mejorar su entendimiento y subsecuente bloqueo de emails falsos, reduciendo así sus probabilidades de éxito.
Los hackers continuarán incrementando la sofisticación de sus ataques, y su habilidad para aprovechar ataques simples como medio hacia esquemas de fraude más complejos. Pero al cerrarle las puertas a los ataques simples, las organizaciones pueden protegerse a sí mismas, no solo contra dichos ataques, sino contra estrategias fraudulentas más complejas que puedan producirse a partir de ellos. Es hora de que las organizaciones también incrementen su protección.