Ríos de tinta y bytes que parecen inútiles.

La mayor complicación en el momento de recibir un ataque de phishing es la capacidad del receptor de identificarlo como tal.

La Ingeniería Social aprovecha nuestras flaquezas y pone en grave riesgo la información corporativa. El perpetrador utiliza a su favor diferentes elementos, como la sorpresa, la notoriedad, el engaño vulgar, el sentido de urgencia y la oportunidad, para lograr sus fines abyectos y penetrar las instituciones y las empresas, en su busca de beneficios económicos, causar daño o, en ocasiones, solo por el gusto de frenar la operación regular de alguna entidad.

A pesar de los ríos de tinta y de bytes que se han escrito al respecto, la falta de cultura de prevención sigue dando frutos a los ataques de phishing en contra de las empresas del mundo y es que la creatividad de los ataques, el uso de tecnología de vanguardia y la falta de preparación de las posibles víctimas, siguen siendo un gran atractivo para los atacantes.

Por esto es que nos hemos enfocado en conocer mejor esta forma de amenaza y es por ello que compartimos nuestros puntos de vista y  propuestas para su control.

Son siete las fases que suceden en un intento de intrusión mediante el uso de phishing, en un ataque elaborado con fines de penetración en las empresas y de permanencia en las mismas.

1. Reconocimiento. En esta etapa el perpetrador permanece oculto. Es una etapa de investigación, de selección de los objetivos y de dar forma al esquema de ataque que será utilizado. Esta etapa es pasiva, de meditación y de planeación en su forma más pura.
2. Armado. En la segunda fase, el atacante está en el proceso “creativo” de su intrusión. Esta fase en más activa, ya que en ella se diseñan las herramientas de tecnología, el script de la llamada, el cuerpo de los correos, y el contenido de las páginas WEB apócrifas o cualquier otro medio que será utilizado, como documentos PDF, Excel y otros formatos populares.
3. Despacho. Con los elementos necesarios debidamente diseñados, el paso siguiente es disparar el ataque. Poner en producción las páginas falsas, enviar los correos de engaño, dejar “olvidados” los pendrives, realizar las llamadas para obtener información y otras técnicas debidamente ensayadas y que son de alta efectividad.
4. Explotación. Una vez enviado, se dispone un disparador para la explotación de alguna vulnerabilidad, ya sea del sistema, de los aplicativos o del factor humano
5. Instalación. Cuando el ataque se diseña para la permanencia o para el efecto inmediato en la fase de instalación es cuando el incauto ha caído y dio “clic” en la liga, el correo, la página y ha provocado la descarga del elemento activo del phishing conocido como malware, el que de manera genérica, entrega el control de la información al atacante.
6. Comando y Control. En los ataque de largo plazo, los servidores externos hacen su parte y se comunican con los programas (o armas) instaladas para lograr el acceso y/o obtener la información y el daño deseados.
7. Acciones y objetivos. El atacante trabaja para lograr el objetivo de diseño de la herramienta utilizada que incluye la fuga de datos, su modificación, daño o encriptamiento o bien la suplantación de identidad para usos de más largo plazo.

Es claro que ningún intento de intrusión basado en Ingeniería social o en phishing es el resultado ocurrente del atacante, más bien es el resultado de un proceso bien pensado, estructurado y adecuadamente comunicado por parte del perpetrador.

Si deseas conocer más del tema y su impacto en la protección de los datos personales y el cumplimiento con la ley, de los programas de entrenamiento y simulaciones y de las soluciones de tecnología, déjanos saber con un correo a clic@pikitdigital.net o llama al    (55) 50278444