¿QUÉ ES AUN ATAQUE DE PHISHING “POLIMÓRFICO”?
Es un tipo de ataque avanzado en el que los cibercriminales realizan pequeños cambios en el mismo correo electrónico que se envía a diferentes destinatarios dentro de la organización objetivo, por ejemplo, en la línea de asunto o el nombre del remitente, mientras investigan los sistemas de seguridad para ver qué podría pasar.
Los ataques polimórficos normalmente comienzan con una campaña dirigida, diseñada para obtener las credenciales de los usuarios. Cuando los primeros muerden el anzuelo, el atacante usa sus credenciales para apuntar a otros usuarios. De esta manera el cambio dinámico en el ataque evita que los controles tradicionales (normalmente, gateways de protección de correo electrónico (SEG)) filtren los mensajes.
¿POR QUÉ SON TAN EXITOSOS?
Una campaña que carece de uniformidad o patrón no parece una campaña y dificulta que los operadores de seguridad mantengan las reglas actualizadas en la soluciones tradicionales de gateway. Para muchos equipos de ciberseguridad que carecen de disponibilidad o herramientas que permitan encontrar el alcance completo de un ataque polimórfico y posteriormente poner en cuarentena los correos es un desafío y requiere mucho tiempo.
Peor aún, los ataques polimórficos no solo son efectivos, sino que son muy fáciles de lanzar gracias a kits automatizados y económicos que se venden en el mercado negro.
Es por esto que una estrategia de defensa que conjunta inteligencia artificial y concientización en ciberseguridad a nuestros usuarios se vuelve crucial.
1.LOS ATAQUES DE PHISHING NO SE DETIENEN SOLAMENTE CON TECNOLOGÍA
Los controles perimetrales detendrán la mayoría de los correos electrónicos de phishing. Después de todo, la tecnología de seguridad está diseñada para detener las amenazas en volumen.
Pero, ¿qué sucede cuando los atacantes usan la tecnología para engañar a su tecnología? Aquí hay un ejemplo. El laboratorio del Instituto Nacional de Tecnología de EE. UU. (NIST) emitió un aviso sobre la amenaza que describiremos a continuación.
Los investigadores desarrollaron un ataque de prueba de concepto llamado ProofPudding para mostrar cómo se podría usar un algoritmo de aprendizaje automático para encontrar debilidades en el Security EMail Gateway (SEG) de Proofpoint.
Proofpoint agregó encabezados de correo electrónico que contenían información confidencial sobre sus algoritmos. Mediante el envío selectivo de variaciones de correos electrónicos al gateway, los investigadores pudieron determinar qué modificaciones y/o palabras clave específicas se bloquearían o permitirían a través de este. En otras palabras, aunque el SEG detuvo la mayoría de los miles de correos electrónicos de phishing que vio, carecía de la información necesaria para saber que un atacante había realizado ajustes. Hizo el trabajo para el que estaba programado, una y otra vez, pero no recibió instrucciones de buscar otros indicadores problemáticos.
2. LA INTUICIÓN HUMANA ES UN INGREDIENTE CLAVE
A diferencia de las máquinas, los humanos, tanto usuarios bien capacitados como profesionales equipos de seguridad vienen “equipados” con intuición. Saben o pueden ser entrenados para confiar en su instinto cuando miran correos electrónicos. La intuición humana es crucial al enfrentar especialmente ataques de phishing polimórficos sobre todo es necesario reportarlo al equipo de seguridad para tomar las medidas pertinentes.
Una cadena de ciberataque normalmente tendrá varios eslabones, desde el reconocimiento del atacante hasta la actuación sobre los objetivos. Los usuarios bien entrenados funcionarán como capa adicional de protección pero si por alguna razón el humano no se percata de la amenaza, como sucede inevitablemente con algunos, los equipos de seguridad necesitan visibilidad y automatización para poder responder rápidamente.
3. EL MEJOR ENTRENAMIENTO ES EL QUE IMITA A LOS ATAQUES QUE RECIBE LA ORGANIZACIÓN (NO TE PUEDES DEFENDER DE LO QUE NO PUEDES VER)
En un mundo de amenazas infinitas, ¿ en cuáles debe capacitar a los usuarios para que detecten?.
La respuesta es en aquellos que realmente recibe la compañía, para esto necesitamos una herramienta que a través de inteligencia artificial pueda contener y aislar de manera automática los ataques que nuestro gateway no puede detener. Conociendo el panorama de amenazas que acechan podemos diseñar campañas de simulación y entrenamiento, si esos correos electrónicos maliciosos cambiaron de forma modificando asuntos, remitentes o cualquier otro elemento, la simulación ayudará a detener el próximo ataque polimórfico.
4. LA DETECCIÓN A TRAVÉS DE USUARIOS ES BUENA PERO SI SE REPORTA EN TIEMPO REAL MUCHO MEJOR
“Crear una cultura en la que los usuarios puedan denunciar los intentos de phishing le brinda información vital sobre qué tipos de ataques de phishing se están utilizando”, esta frase fue tomada del Centro Nacional de Ciberseguridad del Reino Unido. La idea es simple: con práctica frecuente, cualquier usuario puede aprender a detectar un phishing y denunciarlo para su investigación. Reportar las amenazas son una parte importante entre la concienciación y la respuesta, es realmente un comportamiento aprendido, una especie de condicionamiento, que desarrolla “memoria muscular” para que los usuarios no lo piensen dos veces antes de levantar la mano.
5. EL FACTOR HUMANO ES IMPORTANTE PERO LOS PILARES SON LA DETECCIÓN Y RESPUESTA AUTOMATIZADA.
Cuando los correos electrónicos de phishing llegan a la bandeja de entrada, el tiempo corre. En promedio, los usuarios solo tardan 82 segundos en comenzar a hacer clic en una campaña de phishing (dato de CyberDB – Anti-Phishing Simulation and awareness market overview). ¿Se imagina las implicaciones cuando la campaña es polimórfica?, para detener el ataque, necesita automatización para acelerar su respuesta a la amenaza.
Análisis de correo electrónico, búsqueda y cuarentena
Cuando los equipos de seguridad intentan responder manualmente a los informes de phishing generalmente se quedan atrás. Simplemente hay demasiados correos electrónicos, la mayoría de ellos inofensivos y ¿quién más recibió el phish? es como buscar una aguja en un pajar. La automatización a través de inteligencia artificial puede eliminar el ruido , identificar amenazas reales y ponerlas en cuarentena evitando la materialización de un incidente que pueda poner en peligro a su organización.
Si deseas conocer si tu actual solución es efectiva contra ataques polimórficos da click en la liga y agenda tu sesión gratuita.
Nekt-Auditoría EMail Ataques Avanzados
¡Contáctanos! ([email protected])