El año 2022 aún no ha terminado, pero ya se han reportado más de 255 millones de ataques de phishing, lo cual da bastante miedo, ¿no te parece?
Con más de diez variaciones de ataques phishing y técnicas aún más sofisticadas, comprender y prevenir este tipo de delitos cibernéticos se ha vuelto crucial, por lo que en este blog vamos a centrarnos en ejemplos y tipos de ataques de spear phishing.
Spear phishing es un ataque cibernético dirigido a un individuo, grupo u organización específicos, con la intención de robar sus datos para actividades maliciosas, la propagación de malware, o causarle daño a una organización.
¿Sabes que la mayoría de los spear phishers trabajan de forma simultánea junto a sus víctimas para obtener respuestas rápidas? Sin embargo, estos también pueden enviar correos electrónicos o mensajes los fines de semana, cuando es más probable que interactúen con amigos y familiares; los atacantes diseñan su plan de tal forma que pueden hacer que sus víctimas procesen las solicitudes que se les hacen sin fijarse en las banderas rojas que indican peligro o sin pensar demasiado en lo que se les pide.
Es por eso que es importante documentarse sobre ejemplos notables de spear phishing que ya han ocurrido en la vida real y que compartimos a continuación para aprender a identificar las señales de alerta.
Tipos de Spear Phishing
Los ataques de spear phishing dirigidos están aumentando en volumen, complejidad y en el impacto que dejan en las empresas, criminales informáticos diseñan correos con phishing de manera compleja, y lo suficientemente bien para pasar controles de seguridad, al punto que sus mensajes parecen provenir de un remitente legítimo.
Estos exploits de correo electrónico se clasifican en tres categorías principales, los cuales detallamos a continuación junto algunos ejemplos de la vida real.
Ataques de correos electrónicos comerciales
Según el FBI, las pérdidas totales sufridas debido a ataques BEC en 2020 fueron de al menos 1.8 billones de dólares.
En los ataques a correos electrónicos comerciales o BEC, los piratas informáticos ponen la mira sobre una empresa con el fin de defraudarla y causar pérdidas potenciales de miles de millones de dólares. Independientemente del tamaño y la capacidad de la compañía afectada por el ataque, este es un problema frecuente que enfrentan múltiples industrias y organizaciones.
En un ataque BEC, un hacker se hace pasar por alguien que usted conoce (generalmente un colega, supervisor o proveedor) y le envía solicitudes para transferir dinero, desviar pagos de nóminas, cambiar datos bancarios para futuros pagos, etc. Estos ataques son difíciles de detectar ya que no usan ningún tipo de malware o enlaces maliciosos.
Ejemplo de este tipo de ataque #1: Ataque BEC en Google y Facebook valorado en $122 millones
Entre los años 2013 y 2015, Evaldas Rimasauskas se hizo pasar por un proveedor de hardware taiwanés llamado Quanta Computer, cuyos servicios eran usados por dos gigantes tecnológicos, Google y Facebook. Este individuo envió facturas falsas por un valor de $122 millones ($99 millones y $23 millones a Google y Facebook, respectivamente) a estas empresas durante casi tres años, hasta que fue arrestado y encarcelado durante 30 años.
Whaling
El whaling o el ataque ballenero, es un método de ataque bajo el cual los actores maliciosos atacan a los empleados senior, tales como los directores ejecutivos o los directores financieros, para obtener detalles confidenciales cruciales para su empresa, o para manipular a los empleados de nivel inferior y autorizar transferencias electrónicas de alto nivel.
Al igual que los ataques a correos electrónicos comerciales, es un desafío detectar este tipo de ataques de caza de ballenas, ya que los mensajes parecen legítimos y no requieren que las víctimas hagan clic en ningún tipo de enlaces maliciosos. La mejor manera de evitarlos es hacer que el personal de gestión reciba capacitación en seguridad sobre la información que manejan y en última instancia que confirmen las solicitudes financieras o de información de forma directa.
Ejemplo de este tipo de ataque #2: CEO de FACC es despedido por su participación en un ataque ballenero
FACC, un fabricante aeroespacial austriaco, perdió 50 millones de euros en un ataque ballenero y luego despidió a su director ejecutivo, Walter Stephan, y a otros empleados por el incidente. Los estafadores se hicieron pasar por un ejecutivo o funcionario financiero para manipular a la víctima y hacer que esta transfiriera una suma considerable de las cuentas de la empresa a las del atacante.
Fraude del CEO
El fraude del CEO es una estafa en la que los phishers falsifican las cuentas de correo electrónico de una empresa e imitan a los ejecutivos (generalmente en contabilidad o recursos humanos) para engañar al CEO de la empresa, a quien manipulan para realizar transferencias bancarias no autorizadas o compartir detalles confidenciales relacionados con las finanzas o los registros de impuestos de la empresa, etc.
Los actores maliciosos prueban técnicas de ingeniería social como la suplantación de nombres que están a la vista, pero usando direcciones de correo diferentes que muestran el mismo nombre de su objetivo; este truco suele funcionar ya que los proveedores de correo no muestran la dirección de correo del remitente de forma predeterminada en los dispositivos móviles.
Otra táctica consiste en la suplantación de identidad por correo electrónico, modalidad bajo la cual los piratas informáticos utilizan tanto el nombre del director ejecutivo, como la dirección de correo electrónico correcta, aquí los criminales utilizan una dirección de respuesta diferente, por lo que el correo de respuesta es dirigido a ellos.
Ejemplo de este tipo de ataque #3: Fraude de CEO con el cine francés, Pathé cuesta €19,2 millones
Otro ejemplo infame de un ataque de correo spear phishing ocurrió cuando el principal grupo cinematográfico de Francia, Pathé, perdió 19,2 millones de euros al ser enviados varios correos electrónicos desde la cuenta personal del director ejecutivo Marc Lacan; dichos correos solicitaban transferir la suma de cuatro cuentas a la empresa Towering Stars General Trading LLC en Dubai, el incidente trajo como consecuencia la renuncia de Lacan al cargo.
4 ejemplos más de Spear Phishing
Puedes pensar que detectar y prevenir ataques de spear phishing es fácil, pero ese no es el caso, ya que los estafadores se están volviendo más sofisticados y organizados en la planificación y ejecución de sus ataques cibernéticos, razón por la cual te compartimos cuatro ejemplos más de spear phishing para ayudarte a comprender sus tácticas.
#1: Correos electrónicos falsificados causaron una pérdida de $46,7 millones a Ubiquiti Networks Inc.
Ubiquiti networks Inc, una empresa estadounidense de tecnología de redes, se convirtió en víctima del phishing selectivo cuando sus empleados fueron engañados por piratas informáticos, quienes se hicieron pasar por una entidad externa y empleados de alto nivel, dirigiéndose al equipo de finanzas y solicitando transferencias electrónicas por un total de $46,7 millones.
El comité de auditoría de la empresa y los asesores externos encontraron debilidades significativas en los controles internos de Ubiquiti con respecto a los informes financieros, lo que trajo como consecuencia la renuncia del director financiero.
Este incidente demuestra lo fácil que se ha vuelto para los actores de amenazas imitar a un individuo, con tan solo usar información fácilmente disponible en Internet para la creación de correos electrónicos falsificados que lucen increíblemente realistas.
#2: Un grupo de atacantes enviaron correos bien estructurados a un grupo de empleados de nivel junior en la empresa EMC Corp para iniciar una explotación de día cero
Otro ejemplo espeluznante de spear phishing involucró al grupo de seguridad RSA de EMC Corp, el gigante de computación en la nube y manejo de grandes volúmenes de data; en el año 2011, RSA fue atacado cuando los piratas informáticos utilizaron un archivo Flash incrustado en secreto en un archivo de Excel adjunto a un correo electrónico, este archivo adjunto fue denominado «Plan de contratación del 2011» y se envió a un pequeño grupo de empleados de nivel junior.
Los piratas informáticos utilizaron el exploit de día cero de Adobe, el cual entonces era desconocido, para instalar una herramienta de administración remota (RAT) en las computadoras de las víctimas. Este incidente demuestra sin lugar a dudas, que la formación en seguridad cibernética y la concienciación de los empleados son esenciales sin importar su nivel dentro de la empresa.
#3: Facturas falsas de $8.7 millones terminan cerrando las operaciones del Sydney Hedge Fund
En noviembre del año 2020, el cofundador del fondo de cobertura australiano Levitas Capital recibió un correo electrónico con un enlace a una reunión de Zoom falsa, cuando este hizo clic sobre el enlace, este plantó malware en su computadora que permitió a un grupo de piratas informáticos enviar correos electrónicos suplantados y facturas falsas por un total de $8,7 millones; si bien los estafadores solo pudieron salirse con la suya y quedarse con $800,000, el fondo de cobertura cerró poco tiempo después del ataque.
#4: El gobierno de Puerto Rico fue víctima de un ataque de Spear Phishing que sustrajo más de $4 millones
En 2019, un grupo de estafadores piratearon la computadora de un empleado en el departamento de finanzas de un ente gubernamental y enviaron correos electrónicos a varias agencias gubernamentales anunciando un cambio en las cuentas bancarias a recibir pagos; dos agencias procedieron con la solicitud, una de las cuales una perdió $63,000 en diciembre y más de $2.6 millones en el mes de enero, mientras que la otra envió $1.5 millones en el mismo mes.
Este ejemplo de correo de phishing selectivo demuestra que las empresas privadas y las entidades gubernamentales también deben capacitar a sus empleados para identificar las señales de alerta y proceder solo después de confirmar este tipo de solicitudes en persona.
Pensamientos finales
El spear phishing es un método común de violación de datos que representa una amenaza real, ya que es capaz de eludir filtros de seguridad, razón por la cual es esencial formarse a sí mismo y a tus empleados sobre la higiene cibernética como la mejor medida preventiva.
Resulta crucial aprender de los ejemplos de spear phishing que hemos mencionado, y tomar medidas para bloquear, filtrar y marcar correos que resulten sospechosos, además de tener en cuenta las solicitudes de correo extrañas o que generen dudas, sobre todo si provienen de compañeros de trabajo, supervisores, bancos, comerciantes, etc. Te aconsejamos que utilices nuestro verificador de URL contra phishing gratuito, el cual te brinda resultados en tiempo real para ayudarte a detectar si las URL en tus correos electrónicos son legítimas o contienen un enlace con phishing.