Blog

Alerta de spoofing: El auge silencioso de la falsa autoridad

Neil Hammet El | 21 octubre, 2015

La clave de toda campaña de phishing exitosa es la credibilidad: hacerle creer al receptor que el correo electrónico que recibió en su bandeja de entrada es legítimo. Hasta hace relativamente poco tiempo, no había nada que detuviera a un atacante de enviar correos electrónicos con una dirección 5322. From – o una dirección “friendly from” que coincidía exactamente con la organización objeto del ataque.

Los tiempos cambian. Con el creciente índice de adopción del estándar DMARC, cada vez es más difícil para los atacantes ingresar un correo electrónico creíble en la bandeja de entrada. Pero están encontrando nuevas formas de lograrlo.

¿Qué es la falsa autoridad?

Este artículo trata de una subcategoría de spoofing de marca que (actualmente) denominamos “falsa autoridad”. En estos ataques, los atacantes utilizan dominios genéricos que exceden el control de la marca que están suplantando, pero que dan una credibilidad considerable al correo electrónico malicioso, por ejemplo “Paypal@security.com” u “Oracle@no-reply.com.”

Los dominios que se utilizan son términos comunes como Seguridad, Servicio, No-Reply (Sin Respuesta), Actualizar, Revisar o Dominio y casi siempre incluyen “.com” o “.net” dado que aún son considerados los de mayor autoridad por mucha gente.

Las organizaciones objeto de los ataques son muy conocidas: Paypal, Amazon y varias organizaciones de servicios financieros importantes encabezan la lista, con millones de correos maliciosos enviados a clientes en su nombre a diario.

En términos de calidad, estos correos electrónicos maliciosos de falsa autoridad son de lo mejor que han visto nuestros investigadores. Son sumamente profesionales y no existe nada que advierta al cliente que los recibe que son el producto del ataque a una marca.

En este ejemplo de Paypal, podemos ver que en el campo “From” figura service@paypal.com pero la dirección real es paypal@service.com. El atacante actúa bajo la suposición, sin miedo a equivocarse, de que el receptor no note la diferencia debido a que contiene las mismas palabras y símbolos, sólo que en distinto orden.

PayPal-ES-Blog

La calidad del sitio malicioso hacia el cual lo redirige este correo también es sumamente alta: los delincuentes han hecho muy bien su trabajo colocando dos barras con “alertas” en la parte superior que suman credibilidad. En pocas palabras, usted no esperaría encontrar ese nivel de atención al detalle en un sitio malicioso.

Los efectos de animación de fondo se ponen en movimiento apenas se carga la página y los vínculos en la misma mezclan texto legítimo con malicioso: si desea subscribirse a una cuenta nueva, se lo dirigirá al verdadero sitio de PayPal. Sin embargo, si desea iniciar sesión, se lo llevará a una página maliciosa que le robará su información de identidad.

A continuación hay otro ejemplo fantástico de “falsa autoridad”. Este correo electrónico, que suplanta la dirección www.docs.com, ataca a clientes de Halifax Bank:

Halifax-ES-Blog

Observe que el atacante ha mencionado la dirección de correo electrónico del receptor en dos ocasiones dentro del cuerpo del correo para sumar autenticidad, y que el correo en su conjunto está muy bien armado. Si no fuera por lo explícito del vínculo confuso, sería difícil detectar que este correo es malicioso, lo cual naturalmente es señal de lo efectivo que puede ser.

A continuación vemos otro ataque de falsa autoridad igualmente convincente contra FlipKey enviado desde “message.com”:

FlipKey-ES-Blog

¿Qué tan efectivos son estos ataques?

Como parte de nuestra investigación en curso, monitoreamos más de 60 millones de correos electrónicos enviados a lo largo de un período de 30 días desde dominios de falsa autoridad, y examinamos la entrega en bandeja de entrada y la información de vinculación.

La síntesis de estos datos es bastante preocupante:

  • El 63% de los mensajes entró en la bandeja de entrada principal y se leyó el 2,7%.
  • El 37% entró en la bandeja de spam y de este porcentaje se leyó el 13,5%.
  • La tasa de correos leídos en general fue del 9,3% fuertemente inclinada hacia los correos entregados en la carpeta de spam.

De este análisis podemos extraer tres conclusiones. La primera es que la técnica de falsa autoridad es altamente eficaz. La segunda es que las marcas no pueden confiar que los proveedores de correo electrónico protejan a sus clientes contra el fraude por correo electrónico. Y, por último, aun cuando estos correos electrónicos maliciosos sean enviados a la carpeta de spam, los receptores interactúan con ellos casi con el mismo grado con que interactúan con los correos legítimos en su carpeta bandeja de entrada principal.

¿Cómo puede proteger a sus clientes?

El fundamento incuestionable de la defensa de cualquier compañía contra el fraude por correo electrónico tiene que ser la visibilidad de la superficie de ataque completa, tanto en el spoofing de dominio como de marca. Si usted sólo puede ver parte del problema, la tentación es creer que esa parte sea todo el problema.

En segundo lugar, el acceso a la información sobre amenazas por correo electrónico debe acercarse lo más posible al tiempo real y debe informar un servicio de mitigación (cierre, filtrado, etc.) al instante en que fuera posible ponerlo en práctica.

Por último, la táctica de la falsa autoridad es sólo una de las muchas tácticas que hoy utilizan los estafadores, de modo que es fundamental que los equipos de ciberseguridad y de seguridad de la información entiendan el panorama completo de las amenazas por correo electrónico.

Descargue  y descubra cómo puede proteger su marca contra las técnicas de phishing más sofisticadas utilizadas hoy en día.

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.