TipSeg: Fraude por correo (Phishing)

De
Desde hace unos cinco meses (el tiempo pasa volando), les he escrito sobre seguridad con un enfoque conceptual ligero, dejando a un lado algo tan importante como lo es la prevención de incidentes. Por ello me pareció oportuno comenzar una nueva sección en donde les daré recomendaciones de seguridad, una nueva sección llamada TipSec (por Tips de seguridad, estas pasado de creativo Joel).

En esta primera entrada, de esta nueva sección, me gustaría escribirle sobre el phishing mediante correo electrónico (E-Mail), ya que el email es una herramienta de comunicación ampliamente usada (sobre todo a nivel laboral) y que puede convertirse en un foco de amenazas para cualquier persona o empresa.

Resultado de imagen para email malware

Mediante un correo electrónico y la técnica del phishing nos pueden engañar para que entreguemos información sensible, ingresemos a una página Web fraudulenta o descarguemos archivos ("Virus")que pueden comprometer nuestro sistema.

Para entrar un poco en contexto de lo grave que puede ser el asunto, tomemos como ejemplo el mal rato que pasaron varias empresas de renombre como Telefónica, Banco Santander, entre otros, por culpa de un ataque Ransomware WannaCry que los afectó, donde los sistemas infectados quedaron literalmente secuestrados (gracias a un cifrado sin autorización). En resumen, algunas personas recibieron un correo electrónico, descargaron un archivo que contenía un "virus", el virus explotó una vulnerabilidad (Conceptos) del sistema, se propagó e hizo temblar al mundo entero (Sin exagerar. Bueno si exagero un poco, pero fue muy noticioso) al dejar inaccesible los sistemas infectados. 

¿Qué es el phising?

La técnica de suplantación de identidad y uso de ingeniería social para obtener información confidencial a través de medios electrónicos como correo, página Web, o cualquier otro (llamadas, visitas, etc...), es conocida en el mundo de la informática como phishing. 


Foneticamente la palabra phishing es muy parecido a fishing (pescar en ingles), y la verdad es que guardan mucha relación. Con esta técnica una persona mal intencionada buscan generalmente obtener información sensible/confidencial de forma masificada, como si el atacante lanzará una red de pescar y esperara a ver cuantos caen en la trampa.

Si gustan revisar una definición mas completa puede acceder al link de nuestro gran amigo Wikipedia y además este otro link del OWASP (Organización para la seguridad Web), del cual les he hablado.

Recomendaciones

Como se que toda la información que les voy a dar les puede parecer algo larga (capaz ni lo lean), me interesa que tomen en consideración la principal recomendación para evitar este tipo de fraude.

Nunca entreguen información sin antes asegurarse de que el solicitante, el tipo de solicitud y el sistema al cual estamos accediendo son legítimos y confiables.

Debemos ser cautelosos y dudar de cualquier solicitud de información vía correo electrónico (o cualquier otro medio, como un archivo o link por WhatsApp por ejemplo), con el cual una persona mal intencionada se podría aprovechar para realizar algún tipo de fraude o ingresar a nuestro sistema a través de un "virus" (con el cual podría tener control total de nuestro equipo de computación y por consiguiente a la información que contiene), por ello les recomiendo:
  • No entregar información si antes estar seguro de la identidad de la persona que está haciendo la solicitud. Cuando hablo de identidad, no me refiero exclusivamente a conocer su nombre y ID, sino saber si efectivamente es quien dice ser. Por ejemplo si la persona dice ser ejecutivo de nuestro banco, podríamos validar sus datos llamando al call center o hacerle preguntas que solo maneja nuestro banco/ejecutivo y que debería conocer.
  • Utilizar canales oficiales de comunicación para la entrega de información o descarga de archivos. Por ejemplo, si nos están solicitando algunos datos, llamar al número de contacto oficial, ingresar manualmente en la dirección Web para cargar la información y solo descargar aplicaciones de fuentes confiables, como una tienda electrónica de Google (PlayStore).
  • Siempre dudar, en especial cuando el inicio de la comunicación lo realiza un tercero y nos solicita información sensible. Ante cualquier duda de la procedencia de un correo electrónico, nunca pero nunca descargar o instalar archivos a nuestro equipo ni acceder a páginas web incluidas en el mensaje, ya que podrían comprometer nuestro sistema.
En el apartado organizacional, lo principal es concientizar a las personas sobre este tipo de actividades que pondrían ponerlos en riesgo, sobre las políticas de seguridad de la empresa para el adecuado uso de correo electrónico y demás recomendaciones y acciones a seguir en caso de que tengan alguna sospecha. En otras palabras:

Realizar campañas educativa en cuanto a seguridad de la información y este tipo de ataques.

¿Cómo reconocemos un phishing mediante correo?

Para reconocer una phishing es importante considerar los siguientes detalles, a fin de identificar el origen de la información y la identidad del remitente, así como las intenciones del mismo.

1. Identificar el remitente y dominio de correo.

Identificar el remitente, es validar si efectivamente el correo proviene de quien dice ser, y el dominio está asociado al nombre de la organización quien dice ponerse en contacto con nosotros.

Por ejemplo, si recibimos un correo de nuestro ejecutivo del Banco (Digamos Banco Seguridad Ligera) solicitando cierta información, debemos identificar su procedencia. De estas dos opciones cual creen ustedes que es mas probable que sea el correo fraudulento:
    1. gjys937834@elbanco.seguridad.com
    2. pedro.perez@BancoSeguridadLigera.cl
Personalmente yo confiaría mas en el segundo, el cual tiene un nombre real (en verde) y que supongamos corresponde efectivamente al nombre de nuestro ejecutivo, además el dominio (rojo) guarda una mayor relación con nuestro banco. Para identificar estas características debemos tener conocimiento previo de como son las comunicaciones de nuestro banco, porque podrían utilizar una cuenta genérica totalmente valida (Ejemplo: contacto@BancoSeguridadLigera.cl).

2. Contenido del correo (intención).

Generalmente el objetivo de estos ataques es obtener nuestra información, por lo tanto mediante el correo electrónico intentarán hacer que ingresemos a una página Web fraudulanta (Enlaces dentro del correo - Links), que descarguemos o ejecutemos un programa (Mucho cuidado con los archivos adjuntos) o que simplemente respondamos al correo con nuestros datos, entre otro.

Estos ataques suelen ser masificados y no están dirigidos específicamente a una persona, ya que buscan pescar a cualquiera que caigan en su trampa. Por ello suelen tener mensajes genéricos, es decir, en vez de tener un contenido dirigido específicamente a una persona con datos que debería manejar el remitente, mandan un mensaje impersonal.

Ejemplo: Tomando en consideración que el ejecutivo de mi banco tiene acceso a mi información (Por si no lo sabían), debería sospechar si recibo un correo de este tipo:

E-Mail malicioso

Este es un mensaje de phishing bastante obvio y que la mayoría identificaría como fraudulento. El mensaje está dirigido a un correo (No a una persona en particular), además el destinatario, como vimos en el punto 1 no tiene características de una cuenta institucional. El Banco maneja todos nuestro datos (Nombre, número de identidad, cuentas, saldos, etc...) por lo que no tiene sentido un correo tan genérico.

Así como el correo malicioso del ejemplo, suelen llegar correos con promociones, herencias, premios, o cualquier otro tipo de incentivo, que nos motive a hacer clic en algún enlace, o descargar/ejecutar cualquier archivo, así que debemos tener mucho cuidado porque los atacantes suele usar la ingeniera social y nuestra predisposición a aprovechar oportunidades para que caigamos en su trampa.

3. Calidad del correo.

Cuando digo calidad hablo de la presentación del correo y elementos de seguridad que puede incorporar en la estructura de la misma. Si tenemos relación con un banco (Siempre pongo ejemplo de banco porque suele ser los que están mas pendiente y en la vanguardia de seguridad), o solemos comunicarnos constantemente con una persona en particular (Principalmente de alguna institución que nos preste servicios), conocemos como son las comunicaciones formales y la información que generalmente compartimos.

Este punto aplica principalmente a comunicaciones con organizaciones de servicios, cuando es directamente con una persona en un poco mas difícil de comprobar calidad, al menos que nos fijemos de la estructura de su firma y los anteriores dos puntos (Remitente y contenido).

El correo de un banco, suele tener una estructura limpia, con imágenes propia, dirigido directamente a nosotros (Nombre y Apellido), con datos truncados de nuestros productos (últimos 4 dígitos del número de cuenta por ejemplo) e incluso elementos de seguridad que nos permita identificar su procedencia (número de seguimiento de comunicación).

E-Mail legítimo

Ejemplo: En la imagen del correo legítimos podemos observar los elementos de seguridad que mencioné anteriormente, además de la fecha en la cual ingresamos por última vez a la página Web del Banco y un recordatorio de que nunca nos pedirán información privada como número de cuentas, claves o identificador, e incluso otros bancos (imagen a continuación) incluyen detalles de lo que no aparecería nunca en sus comunicaciones, lo extraño es que ellos mismo incumplen con lo que dicen al agregar el link de aa.com/millas y Haga Click Aquí (el otro no es un link, es solo un texto de la dirección www.sbif.cl y no le puedes hacer click).

Tips de seguridad de un Banco

La inclusión de archivos (Como estados de cuentas) o de links dentro del correo va en contra de las mejores practicas, ya que el destinatario se acostumbraría a hacer clic en accesos a páginas Web dentro del correo o descargar archivos, lo que los podría llevar a página Web fraudulentas o descargar virus si se encontrase con un correo fraudulento.

Habiendo entendido todo esto,
¿Cada cuanto, de manera autómata confiamos en un correo y accedemos a una página Web desde la dirección que nos mandan?
Saludos, espero les haya gustado este post, no olviden compartirlo con sus amigos, todos somos propensos a caer en esta trampa.

 NOTA: La palabra virus la coloco en comillas porque el termino que deberíamos utilizar es Malware, software/programa mal intencionado. El virus es un tipo de malware cuya función es alterar el correcto funcionamiento de un sistema, es decir hacerlo fallar (requiere de la intervención humana), y existen muchos otros como gusanos (parecido al virus pero infecta sin intervención humana), troyanos (abre puertas para que entren otros malwares), spyware (espia), etc... cuya diferencias como lo podrán notar es su objetivo. Interesante tema para un nuevo post.




Comentarios

Publicar un comentario

Populares

Seguridad: ¿Física, lógica o de la información?

De
Imagen
El concepto de seguridad ha sufrido cambios de identidad a través del tiempo, sin perder ciertos principios que garantizan la integridad, disponibilidad y confidencialidad de los activos. Cuando comenzamos adentrarnos en el mundo de la seguridad dentro de las organizaciones, solemos escuchar títulos tales como seguridad informática, cyber seguridad, seguridad física, lógica o simplemente seguridad de la información, que en general tienen dos vertientes en cuanto a su objetivo: Seguridad física : Su objetivo principal suele ser la seguridad de las personas y los recursos tangibles de la organización. Esta tipo de seguridad se caracteriza por tener mecanismos destinados a proteger físicamente recursos tales como personas, sala de procesamiento de datos, edificios, entre otros (Si sé que no es políticamente correcto decir que las personas somos un recurso/activo, pero para efectos prácticos lo llamaremos así, eso sí, somos el recurso más importante que existe).  Seguridad lóg
Leer más

Seguridad: Diseñar controles o vivir en el descontrol

De
Imagen
En cierta medida, vivimos con un grado de tranquilidad de acuerdo a la sensación de seguridad que tengamos, y esa sensación de seguridad está estrechamente relacionado al funcionamiento de los controles. Si recuerdan un poco, en varias oportunidades he escrito que los controles son aquellas medidas que nos permiten disminuir la probabilidad o el impacto de la materialización de una amenaza, por lo tanto, entre más conforme estemos con su funcionamiento, sentiremos que estamos mejor preparados para hacer frente a una situación adversa. Está realidad aplica para todo, nos sentiremos más a gusto haciendo algo si tenemos controles que nos den tranquilidad. Por ejemplo: si vamos a salir y está lloviendo de manera moderada, con utilizar un chaqueta impermeable con capucha sería suficiente (control para no mojarnos), pero si está lloviendo muy fuerte, es muy probable que ese control sea insuficiente, por lo que deberíamos cambiarlo o agregar otros, como un paraguas, botas a prueba de agu
Leer más

Presentación: Un poco de mi

De
Imagen
Veamos ¿quién soy? Si hablamos desde el aspecto profesional (No hablaré mucho del personal porque los aburriría mas), soy Ingeniero en Electrónica, estudie esa carrera en un lugar muy hermoso de Venezuela (Puerto Ordaz, deje mi hogar para irme a estudiar 5 años en otra ciudad). Me gradué con el honor de ser el número uno de mi promoción, creo que corrí con la suerte de que mi mejor amiga (por mucho más inteligente, dedicada y con mejores notas) no se pudo graduar en ese momento (Luego se graduó cum laude. Hola Lorena!). Conseguí trabajo en Caracas (La capital de Venezuela, y como toda capital, un caos), unos ocho meses después de haberme graduado (Me lo tome con calma, mis papas no tanto). En mi primer trabajo tuve un breve contacto con la seguridad informática, estuve desarrollando sistemas de seguridad con biometría (Un intento fallido que duro no más de 4 meses). De ahí pase a formar parte de una importante empresa de telecomunicaciones donde inicie verdaderamente mi carrera profe
Leer más