Cómo el phishing selectivo se convierte en phishing masivo

Introducción

Los correos electrónicos de phishing masivo se dirigen a una gran audiencia. Suelen utilizar una redacción genérica y un formato primitivo, tienen errores, etc. Pero en los ataques selectivos, los atacantes se esmeran en enviar correos electrónicos específicos con datos personales para que parezcan correos reales del empleador o cliente de la víctima. Aunque ampliar este enfoque a un público masivo es costoso para los atacantes, desde hace poco, algunos elementos de los ataques selectivos han empezado a aplicarse al phishing masivo convencional. En este artículo analizaremos esta tendencia con ejemplos reales.

Phishing selectivo y masivo: diferencias

El spear phishing, o phishing selectivo, es un ataque que se dirige a un usuario específico o a un grupo reducido de usuarios. Este tipo de correo electrónico malicioso contiene información sobre la víctima, y su estilo y apariencia suelen ser idénticos al de la empresa en cuyo nombre se envía. Son difíciles de identificar como fraudulentos: los atacantes escriben sin errores los encabezados técnicos y no utilizan herramientas de envío que permitan bloquearlos, como relés de correo abiertos, “hostings blindados” que se encuentren en listas de recursos spam, etc.

El phishing masivo, en cambio, está diseñado para alcanza a un gran número de destinatarios: los correos electrónicos son de carácter general y no se dirigen a un usuario concreto y no mencionan el nombre de la empresa del destinatario ni ningún otro dato personalizado. Estos envíos se caracterizan por contener erratas, errores y mala maquetación. Los modernos instrumentos de edición basados en inteligencia artificial permiten a los atacantes redactar correos electrónicos más elaborados, pero incluso así, la mala calidad del texto y del formato siguen siendo habituales en los envíos masivos. Una enorme cantidad de mensajes se envía aleatoriamente a todas las direcciones de correo electrónico de la base de datos del atacante. Por lo general, el contenido de estos correos electrónicos es universal: ofertas corporativas favorables, notificaciones de seguridad de servicios populares, problemas de acceso a la cuenta, etc.

Evolución de los ataques: ejemplos reales

A diferencia de otros tipos de phishing por correo electrónico, el spear phishing aún no era utilizado para ataques masivos por correo electrónico. Sin embargo, a finales de 2023, en el marco de un estudio sobre las consultas de los usuarios, observamos anomalías en la distribución de los resultados de las detecciones mientras analizábamos datos estadísticos. Encontramos un gran número de correos electrónicos que no podían clasificarse de manera inequívoca como selectivos o masivos. Estaban bien diseñados, contenían información personalizada sobre la empresa atacada y se presentaban como notificaciones del departamento de Recursos Humanos. Pero el envío de estos correos electrónicos era demasiado activo y masivo, lo que no es propio de una campaña selectiva.

Correo electrónico de phishing de RR.HH.: el texto contiene el nombre de la empresa, se dirige al destinatario por su nombre y el contenido del correo es bastante escueto, lo que puede hacer bajar la guardia a los usuarios

Además, el enlace de phishing contenido en el correo electrónico conducía a una plantilla de formulario de autorización falsa en Outlook. El formulario no estaba adaptado al estilo visual de la empresa atacada, lo que es un signo de envío masivo.

Un formulario de autorización de phishing que se abre desde un enlace del correo electrónico

En otro ejemplo similar, los atacantes utilizan el Ghost Spoofing, una forma de suplantación en la que la dirección de correo electrónico real de una organización se añade al nombre del remitente sin ocultar ni cambiar el dominio real del remitente. Esta técnica se utiliza más a menudo en ataques selectivos; para los envíos masivos es redundante debido a su naturaleza engorrosa.

Correo electrónico de phishing de RR.HH. que utiliza Ghost Spoofing: el nombre del remitente contiene la dirección de correo electrónico del departamento de RR.HH., lo que hace que el correo electrónico parezca auténtico

Como en el ejemplo anterior, el enlace de phishing del correo electrónico no tiene ninguna característica única específica del spear phishing. El formulario de acceso que se abre al seguir el enlace no contiene ninguna información personalizada y su diseño tiene el estilo de plantillas de formularios similares. Está alojado en un recurso IPFS, el más utilizado en ataques masivos.

Una forma fraudulenta de autorización en el sistema IPFS

Estadísticas

Número de ataques con elementos combinados de phishing dirigido y masivo, marzo-mayo de 2024 (descargar)

Entre marzo y mayo de 2024, observamos un aumento notable de estos ataques de tipo mixto. Ante todo, es una prueba de que los mecanismos que emplean los atacantes se están haciendo más complicados cuanto más se desarrollan. La tecnología actual permite aumentar el número de ataques personalizados, pero a menor costo. Por ejemplo, las herramientas de inteligencia artificial son capaces de adaptar el texto de una carta a una solicitud oficial del departamento de RR. HH. y corregir errores, así como confeccionar una plantilla prolija. Además, vemos un aumento de servicios de terceros que ofrecen funciones de spear phishing. Esto obliga a los usuarios a extremar la vigilancia y a las empresas a reforzar su infraestructura de seguridad.

Conclusiones

En los envíos masivos, los atacantes recurren cada vez más a métodos y tecnologías de ataques selectivos: los correos electrónicos son cada vez más personalizados y se utiliza una amplia gama de técnicas y tácticas de suplantación de identidad. Al mismo tiempo, estos correos siguen siendo masivos y representan una amenaza potencial. Los métodos de defensa deben seguir el ritmo de los avances tecnológicos y combinar un conjunto de métodos y servicios para combatir cada tipo de phishing.

Para protegerse de los ataques por correo electrónico que combinan elementos de phishing selectivo y masivo:

• Preste atención a la dirección del remitente y al dominio real de envío. En una carta corporativa formal, deben coincidir.
• Si tiene sospechas, póngase en contacto con el remitente y hágale preguntas aclaratorias. Lo mejor es hacerlo mediante canales de comunicación diferentes.
• Organice sesiones de formación periódicas para concienciar a los empleados sobre la suplantación de identidad por correo electrónico.
• Utilice soluciones de seguridad modernas con mecanismos de filtrado y antispam.