¿Cómo puede defender su red del phishing¿Cuál es uno de los dos métodos más utilizados por las amenazas para acceder a su red?
En realidad, forma parte del método número uno preferido por los atacantes, que es el robo de credenciales.
Pero hablaremos de ello más adelante...
En primer lugar, en el Prodcast más reciente, el director de mercado de productos de Vectra AI , John Mancini, habla sobre cómo phishing está aumentando -en realidad nunca desapareció- y por qué es ahora una gran amenaza para los usuarios y los equipos SOC de todo el mundo. En su breve resumen, John proporciona una actualización muy informativa y relevante sobre el estado del phishing, incluyendo:
- Breve historia del phishing
- Lo que vemos hoy en la naturaleza
- Nuevas tácticas de los atacantes para engañar incluso al usuario final más inteligente
- Cómo defenderse mejor contra ellos
Al principio, existía Phishing...
Phishing ha existido desde el comienzo de la era digital, con el primer ataque phishing lanzado contra AOL en 1996. Esto puede sorprenderle, pero no debería. El ataque de phishing utilizaba el bien llamado kit de phishing "AOHell", que permitía a los atacantes acceder a las cuentas de los usuarios y hacer lo que quisieran, incluso disponer de un agente de inteligencia artificial que les permitía responder automáticamente a los mensajes de AOL de la forma que quisieran.
El objetivo final era robar las cuentas de los usuarios en lo que podría llamarse la "era script kitty" del hacking. No se sufrió un gran impacto financiero, sino sólo molestias. El ataque phishing fue detenido finalmente por AOL cuando impidió que los usuarios crearan cuentas ilimitadas en AOL utilizando números aleatorios de tarjetas de crédito, que era donde se originaban los ataques.
Ese mismo año apareció una empresa llamada e-gold, que era una especie de moneda digital antes de que aparecieran las criptomonedas. e-gold permitía a los usuarios transferir oro "digital" que tenía valor real en dólares en el mundo real. Pero era una transacción unidireccional. Una vez transferido el valor en dólares del e-gold, no había forma de devolverlo. En otras palabras, una vez que el atacante accedía al monedero de un usuario de e-gold, podía enviar el valor del e-gold a otro monedero y el titular de la cuenta de e-gold no tenía forma de recuperar el dinero robado.
En 2001, se perdían miles de dólares al día en e-gold. Se puso fin a esta situación cuando e-gold añadió un reto de PIN único para las nuevas IP, que en realidad no era más que un tipo primitivo de MFA.
¿Dónde está hoy el Phishing ?
Todo esto debería sonar muy familiar porque los fundamentos del phishing no han cambiado mucho desde entonces hasta ahora. Sí, el abuso de credenciales es la táctica número 1 utilizada por los atacantes hoy en día para acceder a su red. Pero como se ha mencionado anteriormente, los ataques de phishing desempeñan un papel importante a la hora de ayudar a los atacantes a obtener acceso a sus credenciales, por lo que ambos están estrechamente relacionados.
Además, los dos objetivos del phishingson enviar una carga útil a un punto final o capturar credenciales para ejecutar ataques de extremo a extremo basados exclusivamente en la identidad. Así que, básicamente, seguimos en la misma situación con los ataques de phishing que en 1996. En resumen, los kits de phishing , aunque más sofisticados que en el pasado, siguen siendo la forma en que se ejecutan muchos ataques phishing hoy en día.
El código abierto facilita más que nunca los ataques Phishing
Por ejemplo, los kits de código abierto como Gophish y Zphisher hacen que ejecutar un ataque phishing sea tan sencillo como pulsar un par de veces el teclado. De hecho, los defensores suelen utilizar cualquiera de ellos o ambos para imitar ataques y así poner a prueba a sus usuarios. Son súper fáciles de usar, con plantillas y páginas de destino personalizadas, así como catálogos enteros de páginas de destino y plantillas que permiten a los atacantes imitar fácilmente los principales sitios web para el robo de credenciales, imitar correos electrónicos convincentes que se han enviado, rastrear campañas, determinar qué correos electrónicos se han enviado y cuáles se han abierto, capturar contraseñas y otras potentes funcionalidades de ataque.
En los dos últimos años, desde el punto de vista de los agresores, phishing ha demostrado ser más productivo que el ransomware en términos de impacto y oportunidades. Los ataques basados en el correo electrónico simplemente proporcionan un menú mucho más amplio para aprovechar una brecha a lo largo del tiempo en lugar de un evento único de ransomware.
La nueva (vieja) realidad: Kits de Phishing
La comprensión de que los ataques basados en el correo electrónico abren muchas más oportunidades de explotación ha llevado al desarrollo y venta generalizados de herramientas Phishing. Creados por y para atacantes, los kits de Phishing ofrecen las herramientas especializadas que los atacantes desean para poder ejecutar ataques sofisticados, como la capacidad de hacer proxy inverso, evasiones de detección, capacidades de ejecución remota, etc., pero sin necesidad de que los atacantes tengan conocimientos tecnológicos avanzados.
Además, existe una gran variedad de kits Phishing que pueden adquirirse por tan sólo 100 dólares. Los kits mejorados pueden adquirirse por unos 300 dólares o más, de nuevo, por cualquier persona sin necesidad de conocimientos tecnológicos. Como se puede imaginar, los kits actuales son mucho más potentes y sofisticados que los kits de ataque de phishing de 1996. Se les puede parar en seco, pero hay que saber detectarlos a tiempo.
Para obtener más información sobre cómo funcionan estos kits Phishing, qué problemas plantean a sus colegas de seguridad y cómo Vectra AI puede neutralizarlos antes de que dañen o roben sus datos, vea el breve vídeo que aparece a continuación.