Los spear phishers están cebando sus anzuelos para “grandes phish” con acceso a información corporativa muy valiosa, una estrategia conocida como whaling, fraude de CEO o phishing ejecutivo.
El whaling puede funcionar así: El actor malicioso tiene como objetivo a un ejecutivo de alto nivel dentro de una organización y lleva a cabo una investigación exhaustiva sobre él, rastreando Internet, plataformas de redes sociales y sitios web corporativos.
A continuación, utiliza la información recopilada para elaborar un correo electrónico altamente personalizado y convincente que parece proceder de una fuente de confianza dentro de la organización, como el jefe del departamento de TIC.
El correo electrónico puede indicar al objetivo que haga clic en un enlace proporcionado para verificar su cuenta corporativa o cambiar su contraseña. En realidad, el enlace instalará software malicioso o conducirá a una falsa ventana emergente diseñada para capturar las credenciales de inicio de sesión del objetivo cuando intente cambiar su contraseña.
Una vez que el objetivo completa la acción deseada por el atacante, éste es libre de explorar la red corporativa y recopilar la información que necesita para llevar a cabo otras actividades no autorizadas. Esto podría incluir el robo de datos corporativos confidenciales, comprometer transacciones financieras, llevar a cabo espionaje o incluso lanzar otros ataques dirigidos dentro de la red.
El whaling y el phishing no son nuevos, pero la amenaza no va a desaparecer. Por eso corresponde a las empresas tomar la iniciativa para reducir su propio riesgo.
Phishing, spear phishing y cómo atrapar a una ballena
Los ataques de phishing se remontan a mucho tiempo atrás y, si utiliza el correo electrónico, es probable que usted mismo se haya visto expuesto a unos cuantos. En los ataques de phishing, los hackers utilizan el correo electrónico o sitios web maliciosos para solicitar información personal haciéndose pasar por organizaciones fiables, como organismos gubernamentales o instituciones financieras. Esto permite a los atacantes solicitar información sensible. Cuando el usuario responde con la información solicitada, los atacantes pueden utilizarla para acceder a su cuenta bancaria o robar su identidad, entre otros delitos.
Los correos electrónicos de phishing, a diferencia de los de spear phishing y whaling, se envían en masa, a menudo miles a la vez. Por lo tanto, están dirigidos a un público general. Los ciberdelincuentes utilizan este método de gran volumen con la esperanza de que unos pocos desafortunados piquen el anzuelo.
El spear phishing es un ataque de phishing más selectivo. Puede utilizarse solo o como parte de una campaña de amenaza persistente avanzada (APT). En lugar de enviar miles de correos electrónicos con la esperanza de encontrar unas pocas víctimas, los phishers con lanza se dirigen a grupos selectos de personas con algo en común: trabajan en la misma empresa, realizan operaciones bancarias en la misma institución financiera, asisten a la misma universidad o compran productos en el mismo sitio web. Los correos electrónicos son enviados aparentemente por organizaciones o personas de las que las víctimas potenciales recibirían normalmente correos electrónicos, lo que los hace aún más engañosos. Este enfoque dirigido puede hacer que el spear phishing sea más eficaz y, por tanto, más perjudicial para sus víctimas.
El whaling va un paso más allá. Se trata de un ataque de spear phishing dirigido a altos ejecutivos y propietarios de empresas. El atacante puede dedicar meses a investigar la empresa y averiguar todo lo posible sobre la víctima potencial para elaborar el correo electrónico de forma que parezca legítimo al destinatario. El objetivo son los altos ejecutivos y los empresarios porque suelen tener acceso a la información más sensible de la empresa. Una vez comprometido su ordenador, los atacantes tienen carta blanca virtual. Y para la empresa, eso son muy malas noticias.
Ejemplos de whaling
Un ejemplo de una campaña de whaling especialmente exitosa tuvo lugar en 2008 y consistió en el envío de correos electrónicos con apariencia oficial a 20.000 altos ejecutivos de la empresa. El correo electrónico indicaba que el destinatario debía comparecer ante un gran jurado federal y contenía el nombre completo, el cargo de la empresa, el número de teléfono y otra información pertinente para engañar al destinatario y hacerle creer que era legítimo.
Funcionó; alrededor de una décima parte de los destinatarios hicieron clic en un enlace para ver el documento completo. El enlace llevaba al destinatario a un sitio web que informaba a la víctima de que tenía que instalar un complemento del navegador para ver la citación. En lugar de ello, el sitio web descargaba un programa registrador de pulsaciones de teclado que podía grabar en secreto los datos de acceso y las contraseñas de los ejecutivos. Como resultado, las empresas fueron objeto de pirateos informáticos, algunos de los cuales causaron daños considerables.
Otra estrategia común para un ataque de estafa consiste en explotar el conocido nombre del Better Business Bureau (BBB). En esta estafa, los atacantes envían correos electrónicos a los propietarios de pequeñas y medianas empresas afirmando ser de un funcionario del BBB sobre una queja que se presentó contra la empresa. Una versión del correo electrónico invita al destinatario a hacer clic en un enlace para ver la queja, pero, una vez más, el enlace descarga software de registro de pulsaciones u otro malware diseñado para robar información confidencial.
El BBB advierte periódicamente a las empresas sobre estas estafas. El problema es que a menudo a las víctimas les resulta difícil darse cuenta de que están siendo estafadas hasta que es demasiado tarde.
Cómo esquivar un arpón
¿Qué pueden hacer las empresas para protegerse? El arpón supone un riesgo importante para las empresas, pero los pasos para evitarlo son bastante sencillos. La clave está en que las empresas sean proactivas y se aseguren de que sus empleados siguen unas cuantas normas de sentido común. He aquí algunas pautas que deben seguir empleados y directivos.
- Sospeche de los mensajes no solicitados
Las personas deben desconfiar de las llamadas telefónicas o mensajes de correo electrónico no solicitados en los que se pregunte por los empleados u otra información interna. Si una persona desconocida dice pertenecer a una organización legítima, debe verificarse su identidad.
- No facilite información personal o corporativa
Los individuos no deben proporcionar información personal o corporativa, incluida la relativa a la estructura o redes de la empresa, a menos que estén seguros de la autoridad de la persona para disponer de esa información.
Además, las personas no deben revelar información personal o financiera en un correo electrónico y no deben responder a solicitudes de esta información por correo electrónico. Esto incluye los siguientes enlaces enviados en correos electrónicos.
- Evite enviar información sensible por Internet
En general, la información especialmente sensible no debe enviarse por correo electrónico ni por Internet.
- Preste atención a las URL
Los sitios web maliciosos pueden parecer idénticos a un sitio legítimo, pero la URL puede utilizar una variación en la ortografía o un dominio diferente, lo que podría indicar un intento de phishing.
- Verifique las solicitudes por correo electrónico
Si un empleado recibe un correo electrónico sospechoso, debe intentar verificarlo poniéndose en contacto directamente con la empresa desde la que supuestamente se envió el correo electrónico.
- Manténgase informado
Grupos como Anti-Phishing Working Group, una asociación sin ánimo de lucro del sector y las fuerzas del orden centrada en la eliminación del fraude, la delincuencia y el robo de identidad derivados del phishing, el whaling y la suplantación de identidad por correo electrónico de todo tipo, también ofrecen información en Internet sobre ataques de phishing y whaling.
La próxima gran captura
La delincuencia organizada sigue mostrando interés por el spear phishing y el whaling. Mientras los delincuentes puedan ganar dinero realizando estos ataques, seguirán haciéndolo. Por ejemplo, aunque las estafas del BBB llevan mucho tiempo produciéndose, siguen ocurriendo con regularidad, a juzgar por la frecuencia de las advertencias del BBB sobre el tema.
Además, el spear phishing y el whaling se han convertido en métodos populares para las campañas de amenazas persistentes avanzadas, que suelen ser lanzadas por grupos vinculados a gobiernos extranjeros. Están diseñadas para infiltrarse en una empresa o agencia con el fin de robar información sensible o propiedad intelectual valiosa. Estos actores dedican mucho tiempo a decidir la forma más eficaz de infiltrarse en una organización. Los objetivos suelen ser los altos ejecutivos y los propietarios de empresas.
Espabilarse
Mientras se pueda engañar a las personas para que abran correos electrónicos maliciosos, la práctica del whaling continuará. Corresponde a los altos ejecutivos informarse sobre los peligros del whaling y cómo evitar que sus empresas se conviertan en víctimas.