El phishing focalizado es un tipo de ataque de phishing que se dirige a un individuo o grupo de individuos específicos dentro de una organización, e intenta engañarlos para que divulguen información confidencial, descarguen malware o envíen sin saberlo los pagos al atacante.
Al igual que todas las estafas de phishing, el phishing focalizado puede realizarse por correo electrónico, mensaje de texto o llamada telefónica. La diferencia radica en que, en lugar de dirigirse a miles o millones de víctimas potenciales con tácticas de "phishing masivo", los phishers focalizados se dirigen a individuos o grupos de individuos concretos, por ejemplo, los directores regionales de ventas de una empresa, con estafas personalizadas que se basan en una investigación exhaustiva.
Según el informe Costo de una filtración de datos de 2022 de IBM, el phishing fue la segunda causa más común de filtraciones de datos en el 2022. McKinsey señala que el número de ataques de phishing focalizado aumentó casi siete veces después del inicio de la pandemia. Los delincuentes cibernéticos se aprovecharon del creciente número de trabajadores remotos, que pueden ser más susceptibles a las estafas de phishing debido a la higiene laxa de la seguridad y al hábito de colaborar con colegas y jefes principalmente a través de correo electrónico y aplicaciones de chat.
El informe de IBM también detectó que, mientras que los ataques de phishing tuvieron el costo promedio más alto por filtración con 4.91 millones de USD, los costos de los ataques de phishing focalizado pueden superar significativamente esa cantidad. Por ejemplo, en un ataque de alto perfil, los delincuentes de phishing focalizado robaron más de 100 millones de USD a Facebook y Google, ya que se hicieron pasar por vendedores legítimos y embaucaron a los empleados para que pagaran facturas fraudulentas.
Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos.
Regístrese para obtener el Índice X-Force Threat Intelligence
En un clásico ataque de phishing masivo, los hackers crean mensajes fraudulentos que parecen provenir de empresas conocidas, organizaciones o incluso celebridades. A continuación, "lanzan disparos al aire", enviando estos mensajes de phishing indiscriminadamente a tantas personas como sea posible, esperando que al menos un puñado sea engañado para que facilite información valiosa como números de seguridad social, números de tarjetas de crédito o contraseñas de cuentas.
Por otro lado, los ataques de spear phishing son ataques dirigidos a personas específicas que tienen acceso a activos específicos.
Establecer un objetivo
La mayoría de los ataques de phishing focalizado tienen como objetivo robar grandes sumas de dinero de las organizaciones, engañando a alguien para que realice un pago o una transferencia bancaria a un proveedor o cuenta bancaria fraudulentos, o engañándolo para que divulgue números de tarjetas de crédito, números de cuentas bancarias u otros datos confidenciales o sensibles.
Pero las campañas de spear phishing pueden tener otros objetivos perjudiciales:
Propagación de ransomware u otro malware: por ejemplo, el actor de amenazas puede enviar archivos adjuntos de correo electrónico maligno, como un archivo de Microsoft Excel, que instala malware cuando se abre.
Robar credenciales, como nombres de usuario y contraseñas, que el hacker puede usar para realizar un ataque más grande. Por ejemplo, el hacker puede enviar al objetivo un enlace maligno a una página web fraudulenta para "actualizar su contraseña".
Robar datos personales o información confidencial, como datos personales de clientes o empleados, finanzas corporativas o secretos comerciales.
Elegir uno o más objetivos
A continuación, el phisher focalizado identifica un objetivo adecuado. Una persona o grupo de personas con atajo a los recursos que desean los hackers, o que pueden proporcionar ese acceso indirectamente mediante la descarga de malware.
A menudo, los intentos de phishing focalizado se dirigen a empleados de nivel medio o bajo o a empleados nuevos con privilegios elevados de red o de acceso al sistema, que pueden ser menos rigurosos al seguir las políticas y los procedimientos de la empresa. Las víctimas típicas incluyen gerentes financieros autorizados para realizar pagos, administradores de TI con acceso a la red a nivel de administrador y gerentes de recursos humanos con acceso a los datos personales de los empleados. Otros tipos de ataques de phishing focalizado se dirigen exclusivamente a empleados de nivel ejecutivo; véase "Phishing focalizado, whaling y BEC", más adelante.
Investigar al objetivo
El atacante investiga al objetivo en busca de información que pueda utilizar para hacerse pasar por alguien cercano al objetivo, que es una persona u organización en la que el objetivo confía, o alguien a quien el objetivo debe rendir cuentas.
Gracias a la cantidad de información que las personas comparten libremente en las redes sociales y en otros lugares en línea, los delincuentes cibernéticos pueden encontrar esta información sin indagar demasiado. Según un informe de Omdia, los hackers pueden crear un correo electrónico convincente de phishing focalizado después de unos 100 minutos de búsqueda general en Google. Algunos hackers pueden entrar en cuentas de correo electrónico o aplicaciones de mensajería de la empresa y dedicar aún más tiempo a observar las conversaciones para recopilar información más detallada.
Elaborar y enviar el mensaje
Usando esta investigación, los spear phishers pueden crear mensajes de phishing dirigidos que parecen creíbles, de la fuente o persona de confianza.
Por ejemplo, imaginemos que "Jack" es un gerente de cuentas por pagar en ABC Industries. Con sólo mirar el perfil público de Jack en LinkedIn, un atacante podría encontrar el cargo de Jack, sus responsabilidades, la dirección de correo electrónico de la compañía, el nombre del departamento, el nombre y cargo del jefe y los nombres y cargos de los asociados de negocios. A continuación, emplean estos datos para enviarle un correo electrónico creíble de su jefe o del jefe de departamento:
Hola Jack:
Sé que procesa las facturas de XYZ Systems. Me comunican que están actualizando su proceso de pago y necesitan todos los pagos próximos para destinarlos a una nueva cuenta bancaria. Esta es su factura más reciente con los detalles de la nueva cuenta. ¿Podría enviar el pago el día de hoy?
El correo electrónico suele incluir señales visuales que refuerzan la identidad del remitente suplantado a primera vista, como una dirección de correo electrónico falsificada (por ejemplo, que muestra el nombre del remitente suplantado pero oculta la dirección de correo electrónico fraudulenta), enlaces a correos electrónicos de compañeros de trabajo igualmente falsificados o una firma de correo electrónico con el logotipo de la empresa ABC Industries. Algunos estafadores pueden hackear la cuenta de correo electrónico real del remitente suplantado y enviar el mensaje desde allí, para lograr la autenticidad definitiva.
Otra táctica es combinar el correo electrónico con el phishing por mensaje de texto, llamado phishing por SMS o smishing, o el phishing por voz, llamado vishing. Por ejemplo, en lugar de adjuntar una factura, el correo electrónico puede indicar a Jack que llame al departamento de cuentas por pagar de XYZ Systems, a un número de teléfono atendido por un estafador.
Los ataques de phishing focalizado hacen un uso intensivo de técnicas de ingeniería social. Hay tácticas que emplean la presión psicológica o la motivación para engañar o manipular a las personas para que realicen acciones que no deberían y que normalmente no harían.
Hacerse pasar por un funcionario de alto nivel de la empresa, como en el correo electrónico de spear phishing anterior, es un ejemplo. Los empleados están condicionados a respetar la autoridad y tienen miedo subconsciente de no seguir las órdenes de un ejecutivo, incluso si las órdenes son fuera de lo común. Los ataques de spear phishing se basan en otras técnicas de ingeniería social, como:
Usar pretextos: Fabricar una historia o situación realista que el objetivo reconozca y con la que pueda relacionarse, por ejemplo, 'tu contraseña está a puntode caducar... '
Crear una sensación de urgencia: por ejemplo, hacer pasar por un proveedor y reclamar el pago de un servicio crítico con retraso.
Apelar a la emoción o motivadores subconscientes: Tratar de desencadenar miedo, culpa o codicia en el objetivo, hacer referencia a una causa o evento que el objetivo le importa, o incluso simplemente ser útil. Por ejemplo, "Aquí hay un enlace a un sitio web que vende esas partes de computadora que ha estado buscando".
La mayoría de las campañas de phishing focalizado combinan múltiples tácticas de ingeniería social. Por ejemplo, una nota del gerente directo del objetivo que diga: "Estoy a punto de subirme a un avión y mi batería se está agotando, por favor ayúdenme y apresuren esta transferencia bancaria a XYZ Corp. para que no tengamos que pagar un recargo por pago atrasado'.
Aunque cualquier ataque de phishing dirigido a un individuo o grupo específico es un ataque de phishing focalizado, existen algunos subtipos notables.
El whaling (a veces llamado whale phishing) es el phishing focalizado que se dirige a las víctimas de mayor perfil y valor. Suelen ser afiliados a consejos de administración o directivos de nivel C, pero también objetivos no empresariales, como famosos y políticos. Los whalers persiguen una cantera que sólo estos objetivos pueden proporcionar, que son grandes sumas de dinero en efectivo, o el acceso a información muy valiosa o altamente confidencial. No es sorprendente que los ataques de whaling normalmente requieran una investigación más detallada que otros ataques de phishing focalizado.
El compromiso del correo electrónico empresarial (BEC) es un phishing dirigido específicamente para robar a las organizaciones. Dos formas comunes de BEC incluyen:
Fraude del CEO: El estafador se hace pasar por la cuenta de correo electrónico de un ejecutivo de nivel C, o la hackea directamente, y envía un mensaje a uno o más empleados de nivel inferior indicándoles que transfieran fondos a una cuenta fraudulenta o que realicen una compra a un proveedor fraudulento.
Compromiso de la cuenta de correo electrónico (EAC): El estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior. Por ejemplo, un gerente en finanzas, ventas o investigación y desarrollo y lo utiliza para enviar facturas fraudulentas a proveedores, instruir a otros empleados para que realicen pagos o depósitos fraudulentos, o solicitar acceso a datos confidenciales.
Los ataques BEC consumados se encuentran entre los delitos cibernéticos más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que suplantaron a un CEO convencieron al departamento financiero de su empresa de transferir 42 millones de euros a una cuenta bancaria fraudulenta.
Los ataques de phishing se encuentran entre los ciberataques más difíciles de combatir, ya que no siempre pueden ser identificados por las herramientas de ciberseguridad tradicionales (basadas en firmas); a menudo, el atacante solo necesita superar las defensas de seguridad humana.
Los ataques de phishing focalizado son especialmente desafiantes porque su objetivo natural y contenido personalizado los hacen aún más convincentes para el ciudadano promedio. Sin embargo, existen medidas que las organizaciones pueden tomar para ayudar a mitigar el impacto del phishing focalizado, si no evitan este tipo de ataques por completo:
Capacitación en concientización sobre seguridad. Dado que el phishing focalizado se aprovecha de la naturaleza humana, la capacitación de los empleados es una importante línea de defensa contra estos ataques. La capacitación en concientización sobre seguridad puede incluir:
Enseñar a los empleados técnicas para reconocer correos electrónicos sospechosos. Por ejemplo, verificar los nombres de los remitentes de correo electrónico en busca de nombres de dominio fraudulentos.
Consejos sobre cómo evitar compartir de más en redes sociales
Buenos hábitos de trabajo. Por ejemplo, nunca abrir archivos adjuntos no solicitados, confirmar solicitudes de pago inusuales a través de un segundo canal, llamar a los proveedores para confirmar facturas ni navegar directamente a sitios web en lugar de hacer clic en enlaces dentro de correos electrónicos.
Simule ataques de phishing donde los empleados pueden aplicar lo que aprenden.
Autenticación adaptable y multifactor. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña) y/o la autenticación adaptativa (que requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede impedir que los hackers obtengan acceso a la cuenta de correo electrónico de un usuario, incluso si son capaces de robar su contraseña de correo electrónico.
Software de seguridad. Ninguna herramienta de seguridad puede prevenir el spear phishing por completo, pero varias herramientas pueden desempeñar un papel importante en la prevención del mismo o minimizar el daño que causan:
Algunas herramientas de seguridad del correo electrónico, como los filtros de spam y las puertas de enlace seguras de correo electrónico, pueden ayudar a detectar y desviar los correos electrónicos del spear phishing.
El software antivirus puede ayudar a neutralizar el malware conocido o las infecciones de ransomware que son resultado del spear phishing.
- Las puertas de enlace web seguras y otras herramientas de filtrado web pueden bloquear los sitios web malignos vinculados a los correos electrónicos de spear phishing.
- Los parches de sistema y software pueden cerrar las vulnerabilidades técnicas comúnmente empleadas por los phishers focalizados.
Las soluciones de seguridad empresarial pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) a detectar e interceptar el tráfico maligno y la actividad de la red ligada a los ataques de spear phishing. Estas soluciones incluyen (pero no se limitan a) orquestación, automatización y respuesta de seguridad (SOAR), gestión de incidentes y eventos de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección extendida y respuesta (XDR).
Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM utiliza analytics e IA para monitorear la información sobre amenazas, la red y las anomalías del comportamiento del usuario, y para priorizar dónde se necesitan atención y corrección inmediatas.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de malware y ataques de phishing protegiendo a sus clientes minoristas y empresariales.
Proteja los endpoints de los ciberataques, detecte comportamientos anómalos y corrija casi en tiempo real con esta solución de detección y respuesta de endpoints (EDR) sofisticada, pero fácil de usar.
Manténgase al día sobre las novedades, tendencias y técnicas de prevención de phishing en Security Intelligence, el blog de liderazgo de pensamiento a cargo de IBM Security.
El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas, hasta que se paga un rescate.
En su 17.ª edición, este informe comparte los datos más recientes sobre el creciente panorama de las amenazas, y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.