Entrando al tema…
Phish in a Barrel – Cosas que no sabías sobre Ciberataques | Hay un viejo dicho: Lo que no sabes no puede hacerte daño. Pero quizá ninguna afirmación sea menos cierta cuando se habla de ciberamenazas.
Lo que los usuarios no saben sobre las ciberamenazas puede perjudicarles a ellos y a su organización. Son blanco constante de ciberataques. Los errores causados por su desconocimiento pueden provocar trastornos, pérdidas y daños a largo plazo.
Los datos tienen claras implicaciones para los responsables de seguridad que buscan proteger a sus usuarios, datos y marcas. También subrayan por qué las personas son el nuevo perímetro y, por tanto, deben ser el centro de sus esfuerzos de ciberseguridad.
Sección 1 – Phishing
El phishing es una forma de ingeniería social.
Los mensajes de phishing, que se envían por correo electrónico o SMS, utilizan una gama de técnicas cada vez mayores para explotar la psicología humana. Los actores de la amenaza se aprovechan de la confianza de los usuarios para obtener información financiera, credenciales del sistema y otros datos sensibles.
Tendencias
Cada año que pasa, el phishing se convierte en una herramienta cada vez más utilizada por los atacantes. Según el Informe sobre Delitos en Internet 2021 del FBI, el phishing y otros ataques similares representaron más del 38% de todos los presuntos delitos en Internet denunciados en Estados Unidos el año pasado. En 2021 se denunciaron casi 323,000 intentos de phishing. Esto supone casi 83,000 denuncias más que en 2020 y 209,000 más que en 2019.
La investigación sobre El Estado del Phishing en 2022 muestra la prevalencia y eficacia de los ataques de phishing. Se descubrió que en 2021:
- El 86% de las organizaciones se enfrentaron a ataques masivos de phishing.
- 1 de cada 5 usuarios abrieron un archivo adjunto en simulaciones de phishing.
- 1 de cada 10 usuarios dieron clic al link de las simulaciones de phishing.
Un ejemplo real: Ataque a la red eléctrica del gobierno de Ucrania
En diciembre de 2015, la red eléctrica de Ucrania sufrió una avería que dejó sin servicio durante seis horas a unas 225,000 personas en este país de Europa del Este. Fue el primer ciberataque reconocido públicamente que provocó cortes de electricidad.
Los responsables del ataque pasaron meses diseñando estrategias y recopilando información. Una de las técnicas que utilizaron para llevar a cabo su plan fue el spear phishing. En este caso, los objetivos eran el personal informático y los administradores de sistemas de tres empresas ucranianas de distribución de energía.
¿Cómo funcionó?
Para comprometer a estos usuarios, los atacantes enviaron un archivo adjunto malicioso de Microsoft Word en un correo electrónico que parecía proceder de una fuente de confianza. Al abrirlo, el documento mostraba una ventana emergente que pedía al usuario activar las macros. Si el usuario accedía, un malware llamado BlackEnergy3 infectaba la máquina, proporcionando una puerta trasera a los atacantes.
Estos ataques de spear-phishing permitieron a los delincuentes acceder a la red de la empresa energética. A partir de ahí, los delincuentes pasaron meses abriéndose camino hasta las redes de control industrial de supervisión y adquisición de datos (SCADA) de las empresas para preparar su gran ataque. Utilizaron varios métodos, incluido el acceso a los controladores de dominio de Microsoft Windows para obtener aún más credenciales de cuentas de usuario.
El resultado
El apagón fue breve. Aun así, los centros de control afectados tardaron meses en volver a estar plenamente operativos. Y como señalaba un informe sobre el ataque, el incidente «sentó un ominoso precedente para la seguridad de las redes eléctricas en todo el mundo».
Phishing: posibles consecuencias
- Adquisición de cuentas
- Pérdida financiera
- Pérdida de datos
- Daño a la reputación
¿Cómo el awareness pudo haber ayudado?
Como la mayoría de los ciberataques, el cierre de la red de 2015 comenzó con un correo electrónico de phishing. Tras engañar a un empleado para que abriera un archivo adjunto infectado, los ciberdelincuentes pasaron meses recopilando información y profundizando en el entorno.
Security Awareness Training podría haber ayudado a detener el ataque antes de que comenzara. El empleado habría sabido que no debía abrir el archivo adjunto ni interactuar con él, impidiendo así la entrada del atacante.
¿Te pareció interesante este blog? No te pierdas de otros casos reales de ingeniería social junto con nuestros amigos de Proofpoint para entender mejor sobre este tipo de ataques y cómo prevenirlos.
¿El personal de tu empresa es un blanco fácil para los atacantes? ¿No están capacitados para detectar correos maliciosos? ¡En BG2 Services tenemos la solución ideal para tu empresa! Contáctanos para conocer más sobre nuestro amplio portafolio.
📩 mktadmin@bg2.com.mx
📞 (81) 8123 3730
Fuente:
- (2022). Phish in a Barrel: Real-World Cyber Attack Examples. https://www.proofpoint.com/us/resources/e-books/phish-in-a-barrel-real-world-cyber-attack-examples
