Es posible que haya oído hablar del phishing, ¿verdad? Pero, ¿sabías que hay diferentes tipos de phishing? En este artículo queremos destacar lo que es el phishing, hablar de los ataques de phishing y concienciar a los cibernautas, tanto a los particulares con gran presencia digital como a las empresas. Los ataques de whaling se conocen como ciberataques dirigidos. Esto significa que no están destinados a golpear a las masas, sino a individuos clave específicos (directores generales, sobre todo) que tienen acceso a información o activos que sería beneficioso para los hackers obtener.
Ataques a las ballenas - visión general
Los ataques de "spear phishing" como tendencia, surgieron hace casi una década. En aquel entonces, el término utilizado para describirlos era amplio y se llamaba "spear phishing". Como se puede ver, muchos nombres de tácticas de hacking están relacionados con la pesca. Hoy en día, pesca con arpón sólo se utiliza para separar los ataques de phishing dirigidos de los amplios.
El whaling es lo que se conoce como phishing con una gran captura. Los objetivos de los ciberataques de Whaling (por ejemplo, las ballenas) no son las masas habituales de personas, sino más bien "individuos de alto valor", es decir, personas con capacidad de decisión con acceso a información y/o activos que serían beneficiosos para los actores de la amenaza. Puede tratarse de un director general, un funcionario gubernamental de alto rango o simplemente cualquier persona en una posición elevada con acceso y/o posesión de información y recursos valiosos.
La mayoría de los ciberataques de ballenas implican un "phishing" de alto nivel, muy dirigido y bien investigado. Una vez que se obtiene suficiente información, comienza un intento no solicitado por parte de alguien que se hace pasar por una entidad de confianza, como su banco, compañía de tarjetas de crédito, agencia gubernamental o incluso sitios populares. La intención es obtener acceso a información que pueda ser utilizada para obtener beneficios económicos o desestabilizar. Estafar a una persona de clase media de los suburbios nunca supondrá el mismo beneficio que estafar al director general de una gran empresa, por ejemplo, de ahí que el phishing de ballenas sea un juego completamente distinto.
Si bien los ciberataques de tipo "whaling" se consideran a veces como un "phishing" corriente, esto no es del todo cierto, ya que el "whaling phishing" implica dirigirse a personas clave. Por lo general, se hace con una inmensa investigación de antecedentes, recopilando información privilegiada, preparándose y haciéndolo con la máxima precisión.
Metodología de la caza de ballenas
Hay cuatro elementos clave que tienen en común los ataques de ballenas, también conocidos como fraudes a directores ejecutivos: el objetivo, el momento, el contenido y la metodología.
Dirigido a
El paso inicial de la caza de ballenas es dirigirse a personas de gran valor. Para tener éxito, hay que encontrar un objetivo adecuado. Esta persona debe tener el control del acceso o el poder de influir en las decisiones, tener acceso a los sistemas, etc. Para tener más éxito, los hackers suelen tener como objetivo a los directores generales, directores financieros y ejecutivos de alto rango, así como al personal de contabilidad de alto nivel.
El phishing es tan común y está tan extendido que más de la mitad de los responsables de la toma de decisiones de TI quieren que sea su principal prioridad.
Cronometraje
¿Ha oído la frase "El momento lo es todo"? Pues bien, en este caso se puede aplicar. Si los piratas informáticos juegan bien sus cartas y atacan en el momento oportuno, y si se ajustan al ritmo de sus acciones, las posibilidades de éxito aumentan enormemente. El momento se refiere a dos factores diferentes: el momento general (en el calendario) y el momento relativo (situación actual de la empresa).
Por ejemplo, si los piratas informáticos saben que el director financiero ha caído enfermo justo antes de las fiestas y trabaja a distancia, pueden crear un esquema y aprovechar precisamente la oportunidad para sacar dinero de las cuentas justo antes de Nochebuena. El personal responsable tardaría días en darse cuenta, dando tiempo suficiente para blanquear el dinero a través de cuentas bancarias en el extranjero.
Contenido
Toda la esencia de la estafa de la caza de ballenas o incluso se puede etiquetar esto como la estrategia. Aquí es donde entran en juego la investigación y la mencionada información privilegiada. El análisis de las redes sociales y otros elementos de la agenda pública de la empresa puede mostrar información significativa que los hackers pueden utilizar para el engaño de la ingeniería social y el phishing. Es probable que cada enfoque sea único, con sus propios ángulos, nichos y puntos de explotación.
Por lo general, el whaling gira en torno a la suplantación de identidad por correo electrónico, por lo que a los estafadores les gustaría centrarse en los detalles personales y establecer rápidamente la confianza a través de la comunicación. Podrían falsificar fácilmente los correos electrónicos para chatear con sus subordinados o incluso copiar sitios web enteros para recopilar información. Por ejemplo, si su superior financiero le envía un correo electrónico desde su dirección y escribe
"¿Puede acceder a las cuentas bancarias de nuestra empresa? Por favor, compruébalo cuanto antes". - un subordinado podría no dudar en seguir las instrucciones.
Por lo tanto, el contenido es preciso, directo.
Metodología
Por último, tenemos lo que se denomina una "metodología de estafa suave", es decir, una comunicación o interacción social fluida entre los actores de la amenaza y lo que se consideran objetivos de alto valor o individuos asociados a ellos.
El estafador quiere evitar la participación externa y limitar las comunicaciones al mínimo, manteniendo las cosas bajo su control directo. Si el objetivo decide consultar con otra persona, obtener una segunda opinión o esperar a una fecha fija en el futuro, el estafador podría volverse insistente y negar la necesidad. Este es el primer fallo de su metodología: tener un tiempo muy limitado para realizarlo. Si un empleado subordinado detecta un fraude, no debería actuar por encima de su nivel salarial. Y los directores generales, cuando son el objetivo, deberían evitar hacer algo completamente imprevisto antes de consultar directamente con los funcionarios correspondientes.
Protección y defensa contra la caza de ballenas: concienciación cibernética
¿La mayor protección y defensa contra la caza de ballenas? La concienciación. El concepto de ciberconcienciación suele asociarse a la seguridad informática, pero eso es sólo un aspecto del conjunto. Aumentar la conciencia cibernética en su empresa puede contribuir significativamente a la seguridad general y darle una ventaja competitiva sobre los competidores sin escrúpulos, que podrían tratar de utilizar enfoques poco éticos para obtener lo que buscan.
Para garantizar el éxito de la protección contra estafas muy focalizadas, es necesario concienciar a todos los empleados, ya sea el director general o un vigilante nocturno. Las medidas de concienciación cibernética deben introducirse en todas las áreas de trabajo: desde los recepcionistas y los oficinistas hasta los funcionarios de alto rango y los miembros del personal de apoyo técnico.
La educación y la introducción a las amenazas potenciales conducen a los mejores resultados posibles. Como ya se ha mencionado, los responsables de TI más informados son los que más se preocupan por la amenaza del phishing. No es la táctica más inteligente en términos de soluciones de hacking, pero explota posiblemente la mayor debilidad de la estructura de la empresa: la confianza de la gente. Si un pirata informático es capaz de abrirse camino mediante la ingeniería social y se gana la confianza, el daño que puede causar es colosal.
El primer paso es entender lo que sus empleados necesitan saber sobre los peligros de los ataques de phishing. Asegure el 2FA y otras posibles medidas de seguridad digital para evitar daños desafortunados y fácilmente evitables.
Consejos básicos para evitar el robo de datos y frenar los ataques de phishing
No todo es pesimismo; hay muchas cosas que se pueden hacer para evitar el robo de datos. He aquí algunos consejos básicos que le ayudarán a evitar los ataques de phishing:
1. No confíe únicamente en las contraseñas: utilice 2FA, especialmente para las transacciones financieras
La autentificación multifactorial ha demostrado ser una de las herramientas más eficaces para autentificar diversas operaciones y evitar que los defraudadores se aprovechen. Una de las mejores formas de frenar en seco la caza de ballenas es minimizar la dependencia del conocimiento de las personas (códigos de acceso y contraseñas) y añadir factores como la posesión (por ejemplo, el teléfono móvil, el generador de códigos, etc.), así como los datos biométricos.
2. Utilice contraseñas largas que combinen números, símbolos, letras mayúsculas y minúsculas
Son más difíciles de recordar, pero existen soluciones de software dedicadas al cifrado y la protección de contraseñas. Algunos sistemas pueden desbloquearse con contraseñas que cambian constantemente (similar a la 2FA), pero esta mínima forma de prevención puede obstaculizar en gran medida los esfuerzos de los hackers.
3. Controla lo que ocurre en tu escritorio, a qué datos estás accediendo y desde qué sitios web se han descargado
Hay varios programas que pueden ayudar a controlar a qué sitios accede la IP de su organización y qué información se busca.
4. No haga clic en ningún enlace de los correos electrónicos que no esperaba recibir
La mayoría de los ataques de ballenas se realizan a través del correo electrónico, así que ¿cuál es su mejor defensa? En primer lugar, no haga clic en ningún enlace de los correos electrónicos que no esperaba recibir, sea cual sea. Informa siempre de los correos electrónicos sospechosos o pregunta por ellos en persona o a través de canales de comunicación seguros, por ejemplo, llamando a la persona en cuestión o escribiendo a su cuenta de Skype de la intranet, etc.
5. Utilice cortafuegos y filtros antispam en sus cuentas de correo electrónico
Esto puede parecer obvio, pero es una de las medidas de higiene cibernética más básicas que ayudan a mantener un montón de malware peligroso fuera de su sistema.
Resumen
Así pues, ahora sabrá todo lo que hay que saber sobre los ataques de whaling en whaling. Se trata de un tipo de ataque de phishing en el que los estafadores dirigen sus esfuerzos contra personas de alto rango, como altos ejecutivos y directivos. Los hackers utilizan diversas técnicas para recabar información sobre las víctimas con la esperanza de engañarlas para que revelen datos privados o entreguen derechos de acceso a sistemas altamente confidenciales. Esto puede crear importantes daños a la empresa. Por ello, las empresas deben concienciar a toda su organización para protegerse mejor.