Tras desmantelar una plataforma de "phishing como servicio" que afectó a miles de víctimas en 43 países, INTERPOL señaló: "Puede que los ciberataques como el phishing sean de carácter virtual y sin fronteras, pero su impacto en las víctimas es real y devastador". Los ataques al correo electrónico corporativo, un tipo de ataque malwareless, o silencioso, que engaña a los destinatarios para que, por ejemplo, transfieran fondos, han supuesto pérdidas superiores a 50 000 millones de dólares a víctimas de todo el mundo, según el FBI.
Se calcula que el 90 % de los ciberataques exitosos comienzan con un correo electrónico de phishing, una táctica que sigue siendo muy lucrativa para los atacantes. Hoy en día no hay mucho que se pueda hacer para detener los intentos de phishing. Sin embargo, para evitar que sean efectivos, es importante comprender (y abordar de forma proactiva) la evolución de las tendencias del phishing, incluidas las formas en que los atacantes se aprovechan hábilmente de la confianza que las víctimas depositan en remitentes de correo electrónico "conocidos". Para ello, Cloudflare ha publicado esta semana su primer informe sobre las amenazas de phishing.
Este informe analiza las principales tendencias de phishing y algunas recomendaciones relacionadas a partir de los datos de seguridad de correos electrónicos recabados durante el periodo comprendido entre mayo de 2022 y mayo de 2023. Durante ese tiempo, Cloudflare procesó aproximadamente 13 000 millones de correos electrónicos, de los cuales bloqueó alrededor de 250 millones de mensajes maliciosos antes de que llegaran a las bandejas de entrada de los clientes. Este informe también se basa en una encuesta a 316 responsables de la toma de decisiones en materia de seguridad en Norteamérica, EMEA y APAC (puedes descargar ese estudio encargado por Cloudflare aquí).
Consulta el informe completo para conocer nuestras tres conclusiones clave:
Los enlaces maliciosos constituyen la principal táctica de phishing de los atacantes. Descubre cómo están mejorando la manera en que intentan llevar a sus víctimas a hacer clic y el momento en que modifican los enlaces con fines hostiles.
El fraude de identidad adopta diversas formas (tales como los ataques al correo electrónico corporativo y la suplantación de marca), y puede omitir fácilmente los estándares de autenticación del correo electrónico.
Los atacantes se pueden hacer pasar por cientos de organizaciones diferentes, pero principalmente suplantan la identidad de las entidades en quienes nosotros confiamos (y que necesitamos).
Estos son algunos factores que debes tener en cuenta al leer el informe sobre las amenazas de phishing en 2023.
Clasificación de las amenazas por correo electrónico
Los atacantes suelen utilizar una combinación de ingeniería social y técnicas de ofuscación técnica para que sus mensajes parezcan legítimos. Por ello, Cloudflare utiliza una serie de técnicas de detección avanzadas para analizar señales "confusas" (no solo el contenido visible a simple vista) y así identificar correos electrónicos no deseados. Esas señales incluyen:
Análisis estructural de los encabezados, del cuerpo del correo, de las imágenes, de los enlaces, de los archivos adjuntos, de las cargas, etc. mediante el uso de modelos heurísticos y de aprendizaje automático especialmente diseñados para estas señales.
Análisis de sentimientos a fin de detectar los cambios en los patrones y comportamientos (p. ej., los patrones de escritura y las expresiones).
Gráficos de confianza que evalúan los gráficos sociales de los socios, el historial de los envíos de correos electrónicos y las posibles suplantaciones de socios.
Nuestro servicio de seguridad del correo electrónico también incorpora información sobre amenazas procedente de la red global de Cloudflare, que bloquea una media de 140 000 millones de ciberamenazas cada día.
Estas y otras muchas otras señales evalúan los correos electrónicos que pueden formar parte de ataques al correo electrónico corporativo, suplantaciones o spam. Nuestro panel de control indica a los clientes las razones específicas (es decir, las "categorías" de indicadores de amenaza) de una determinada resolución de correo electrónico.
A continuación, puedes ver una imagen de los principales indicadores de amenaza del correo electrónico que observamos entre el 2 de mayo de 2022 y el 2 de mayo de 2023. Clasificamos los indicadores de amenaza en más de 30 categorías diferentes. Durante ese periodo, los principales indicadores de amenaza fueron enlaces maliciosos, antigüedad del dominio (dominios recién registrados), fraude de identidad, robo de credenciales y suplantación de marca.
A continuación, ofrecemos una breve descripción de cada una de las categorías principales (que detallamos en mayor profundidad en el apéndice del informe).
Si se hace clic, un enlace malicioso abrirá el navegador web predeterminado del usuario y mostrará los datos a los que se hace referencia en el enlace, o abrirá directamente una aplicación (por ejemplo, un PDF). Dado que el texto que aparece en un enlace (es decir, hipertexto) se puede establecer arbitrariamente en HTML, los atacantes pueden hacer que una URL parezca que enlaza con un sitio legítimo cuando, en realidad, es malicioso.
Antigüedad del dominio: se refiere a la reputación del dominio, que es la puntuación global asignada a un dominio. Por ejemplo, los dominios que envían numerosos correos electrónicos nuevos inmediatamente después de su registro tenderán a tener una reputación peor y, por tanto, una puntuación más baja.
Fraude de identidad: se produce cuando un atacante o un usuario malintencionado envía un correo electrónico haciéndose pasar por otra persona. Los mecanismos y tácticas varían considerablemente. Algunas tácticas incluyen el registro de dominios similares (es decir, la suplantación de dominio), falsificados o modificados para hacer ver que proceden de un dominio de confianza. Otras variaciones incluyen el envío de correos electrónicos utilizando plataformas de servicios web con buena reputación o técnicas de enmascaramiento.
Robo de credenciales: es una táctica que utiliza un atacante para engañar a los usuarios para que proporcionen sus credenciales de inicio de sesión. Los usuarios despistados pueden introducir sus credenciales, proporcionando en última instancia a los atacantes acceso a sus cuentas.
Suplantación de marca: es una forma de engaño de identidad en la que un atacante envía un mensaje de phishing que suplanta la identidad de una empresa o marca reconocible. La suplantación de marca se lleva a cabo utilizando una amplia gama de técnicas.
Un archivo adjunto a un correo electrónico que, cuando se abre o ejecuta en el contexto de un ataque, incluye una llamada a la acción (por ejemplo, atrae a la víctima para que haga clic en un enlace) o realiza una serie de acciones establecidas por un atacante.
Cloudflare observa periódicamente numerosos indicadores de amenaza en un mismo correo electrónico de phishing. Por ejemplo, una campaña de phishing que aprovechó la crisis de Silicon Valley Bank (sobre la que hablamos en este blog en marzo de 2023) combinaba la suplantación de la marca con un enlace y un archivo adjunto maliciosos.
Los atacantes utilizaron la marca SVB en una plantilla temática de DocuSign. El correo electrónico incluía código HTML que contiene un enlace inicial y una compleja cadena de redireccionamiento de cuatro niveles de profundidad. El archivo HTML incluido en el ataque habría enviado al destinatario a una instancia de WordPress con capacidad de redireccionamiento recursivo.
(Los enlaces maliciosos representaron la principal categoría de amenaza, en concreto, aparecieron en el 35,6 % de nuestras detecciones. Los atacantes no solo utilizan enlaces en los canales de correo electrónico. El aumento de las amenazas de phishing multicanal, que vulneran otras aplicaciones como SMS/texto, chat y redes sociales, también se aborda en el informe).
Marcas de confianza (y las más suplantadas)
Silicon Valley Bank fue solo una de aproximadamente 1 000 marcas diferentes que se suplantaron en correos electrónicos dirigidos a clientes de Cloudflare entre mayo de 2022 y mayo de 2023. (Los empleados de Cloudflare fueron objetivo directo de la suplantación de marcas en el ataque de phishing "Oktapus" que el conjunto de productos de Cloudflare One consiguió frustrar en julio de 2022).
Sin embargo, como se detalla en nuestro informe sobre las amenazas de phishing, observamos que los ataques por correo electrónico suplantaron en un 51,7 % de las veces la identidad de una de las 20 marcas mundiales más reconocidas, cuya lista encabeza Microsoft.
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
Rank | Impersonated brand |
---|---|
1 | Microsoft |
2 | World Health Organization |
3 | |
4 | SpaceX |
5 | Salesforce |
6 | Apple |
7 | Amazon |
8 | T-Mobile |
9 | YouTube |
10 | MasterCard |
11 | Notion.so |
12 | Comcast |
13 | Line Pay |
14 | MasterClass |
15 | Box |
16 | Truist Financial Corp |
17 | |
18 | |
19 | AT&T |
20 | Louis Vuitton |
Clasificación
Marca suplantada
1
Microsoft
2
Organización Mundial de la Salud
3
4
SpaceX
5
Salesforce
6
Apple
7
SPF (Sender Policy Framework) |
Key benefits: Validating server origin (i.e., validates where a message originates from) Defining which email servers and services are allowed to send messages on a domain owner’s behalf |
---|---|
Limitations: Does not prevent lookalike email, domain, or display name spoofing Does not validate the “From” header; uses envelope “From” to determine sending domain Validation ineffective when emails are forwarded or when messages sent to a mailing list are sent to each subscriber SPF evaluation process can be limited to a certain number of DNS lookups Does not protect against attacks using “validated” emails with embedded URLs, malicious payloads, or attachments |
|
DKIM (Domain Keys Identified Mail) |
Key benefits: Providing tenant origin validation (i.e., checks that an email was sent/authorized by the owner of the domain via a digital signature) Ensuring email is not altered while transferred from server to server; protecting message integrity |
Limitations: Does not prevent lookalike email, domain, or display name spoofing Does not protect against replay attacks (DKIM only signs specific parts of a message. Attackers can add other header fields to emails passing DKIM then forward them.) Does not protect against attacks using “validated” emails with embedded URLs, malicious payloads or attachments |
|
DMARC (Domain-based Message Authentication, Reporting and Conformance) | Key benefits: Providing policy enforcement and reporting for SPF and DKIM Stipulating what policy to follow if an email doesn’t pass SPF or DKIM authentication (e.g. reject/delete, quarantine, no policy/send) Reporting function allows domain owners to see who is sending email on their behalf (i.e., protecting against spoofing of your own domain and brand abuse) |
Limitations: Does not prevent spoofing of another brand’s domain Does not prevent lookalike email, domain, or display name spoofing Domain owners specify what percentage of mail DMARC policies it applies to; application percentages of less than 100% are less effective Does not protect against attacks using “validated” emails with embedded URLs, malicious payloads or attachments |
Amazon
8
T-Mobile
9
Youtube
10
MasterCard
11
Notion.so
12
Comcast
13
Line Pay
14
MasterClass
15
Box
16
Truist Financial Corp
17
18
19
AT&T
20
Louis Vuitton
Ejemplo de intento de robo de credenciales de Microsoft
A principios de este año, Cloudflare detectó y bloqueó una campaña de phishing que utilizaba la marca Microsoft en un intento de robar credenciales a través de un sitio legítimo, pero vulnerado.
En el ejemplo de correo electrónico que aparece a continuación, no hay texto en el cuerpo del correo electrónico a pesar de su apariencia. Todo el cuerpo es una imagen JPEG que incluye un hipervínculo. Por lo tanto, si el destinatario hace clic en cualquier parte del cuerpo del correo (aunque no tenga intención de hacerlo), hará clic en el enlace.
Inicialmente, el hipervínculo de esta imagen parece ser una URL benigna de Baidu: hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#. Sin embargo, si se hacía clic en este enlace, el navegador del objetivo se redirigía a un sitio que había sido vulnerado y utilizado para alojar un recolector de credenciales.
El atacante utilizó la marca Microsoft Office 365, pero intentó eludir cualquier técnica de detección de marcas, incluida la información de la marca dentro de la imagen (es decir, no había texto sin formato ni texto HTML que se pudiera inspeccionar para identificar la marca).
Sin embargo, con el reconocimiento óptico de caracteres (OCR), Cloudflare logró identificar "Office 365" y "Microsoft" en la imagen. La tecnología OCR también nos permitió identificar el uso de señuelos de cuenta sospechosos relacionados con contraseñas.
En este ejemplo, las técnicas de los atacantes incluían:
Inclusión de solo una imagen JPEG (imposible de detectar palabras sin OCR).
Inserción de un hipervínculo en esa imagen (al hacer clic en cualquier parte del cuerpo, se haría clic en el enlace).
Hipervínculo a una URL de Baidu (utilizado para eludir las técnicas de detección de URL basadas en la reputación).
La URL de Baidu redirige el navegador del destinatario a un sitio de robo de credenciales (es decir, eludiría otras defensas de seguridad del correo electrónico que no son capaces de inspeccionar enlaces profundos).
Alojamiento del recolector de credenciales en un sitio legítimo que haya sido vulnerado por el atacante (incluso con la inspección de enlaces profundos, intentará de nuevo eludir las técnicas de detección de URL basadas en la reputación).
Este vector de ataque aprovecha la gran reputación y autenticidad de Baidu para eludir la reputación del verdadero host/IP donde se aloja el recolector de credenciales.
Aunque esta campaña específica se centró en el robo de credenciales de Microsoft, a menudo vemos a los atacantes utilizar métodos similares para eludir las técnicas de detección de marcas y engañar a las víctimas para que descarguen malware y otras cargas malintencionadas.
A menudo se utilizan técnicas de redirección de URL en las campañas de phishing, pero los ciberdelincuentes siguen perfeccionando su enfoque vulnerando cada vez más dominios legítimos como baidu.com, bing.com, goo.gl, etc. Nuestras numerosas capacidades de detección nos permiten realizar inspecciones de enlaces profundos de URL que utilizan técnicas de redireccionamiento de todo tipo, incluidas las que vulneran dominios legítimos.
¿Qué pasa con SPF, DKIM y DMARC?
La autenticación del correo electrónico (en concreto, los estándares SPF, DKIM y DMARC) suele ser útil contra la suplantación de marcas. Estos estándares ayudan a validar los orígenes del servidor y del inquilino, protegen la integridad de los mensajes, proporcionan la aplicación de políticas y mucho más.
Sin embargo, los atacantes aún pueden encontrar formas de eludir la autenticación para engañar a las suites de correo electrónico. De hecho observamos que el 89 % de los mensajes no deseados "pasaron" las comprobaciones SPF, DKIM y/o DMARC.
Algunas limitaciones de la autenticación del correo electrónico son:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-6v43{background-color:#ffffff;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-ktyi{background-color:#FFF;text-align:left;vertical-align:top}
SPF(Marco de políticas del remitente)
Principales ventajas:Valida el origen del servidor (es decir, valida la procedencia de un mensaje).Define qué servidores y servicios de correo electrónico están autorizados a enviar mensajes en nombre del propietario de un dominio.
Limitaciones:No impide la suplantación de correo electrónico, dominio o nombre de usuario similares.No valida el encabezado "De". Utiliza el encabezado "De" para determinar el dominio remitente.La validación no es efectiva cuando se reenvían correos electrónicos o cuando los mensajes enviados a una lista de correo se envían a cada suscriptor.El proceso de evaluación SPF puede limitarse a un determinado número de búsquedas DNS.No protege contra los ataques que utilizan correos electrónicos "validados" con URL insertadas, cargas maliciosas o archivos adjuntos.
DKIM(Mensajes de correo identificado de claves de dominio)
Principales ventajas:Validación del origen del inquilino (es decir, comprueba que el propietario del dominio ha enviado/autorizado un correo electrónico mediante una firma digital).Garantiza que el correo electrónico no se altera mientras se transfiere de servidor a servidor. Protege la integridad del mensaje.
Limitaciones:No impide la suplantación de correo electrónico, dominio o nombre de usuario similares.No protege contra los ataques de reproducción (DKIM solo firma partes específicas de un mensaje. Los atacantes pueden añadir otros campos de encabezado a los correos electrónicos validados por DKIM y luego reenviarlos).No protege contra los ataques que utilizan correos electrónicos "validados" con URL insertadas, cargas o archivos adjuntos.
DMARC (Autenticación basada en dominios para mensajes, informes y conformidad)
Principales ventajas:Proporciona la aplicación de políticas e informes para SPF y DKIM.Estipula qué política seguir si un correo electrónico no supera la autenticación SPF o DKIM (p. ej. rechazar/eliminar, poner en cuarentena, no aplicar políticas/enviar).La función de informes permite a los propietarios de dominios ver quién envía correos electrónicos en su nombre (es decir, protege contra la suplantación de tu propio dominio y el abuso de marca).
Limitaciones:No impide la suplantación del dominio de otra marca.No impide la suplantación de correo electrónico, dominio o nombre de usuario similares.Los propietarios de dominios especifican a qué porcentaje de correo se aplican las políticas DMARC. Los porcentajes de aplicación inferiores al 100 % son menos eficaces.No protege contra los ataques que utilizan correos electrónicos "validados" con URL insertadas, cargas o archivos adjuntos.
Conclusión
Las tácticas de los atacantes evolucionan constantemente. Es necesario aplicar numerosas capas de protección antes, durante y después de que los mensajes lleguen a las bandejas de entrada. Cloudflare nunca "confía" intrínsecamente en ningún tipo de comunicación por correo electrónico (ya parezca interna, externa o procedente de un socio empresarial "conocido").
Del mismo modo, recomendamos que, ante todo, las organizaciones amplíen el modelo de seguridad Zero Trust ("no confiar nunca, verificar siempre") no solo a la red y las aplicaciones, sino también a la bandeja de entrada del correo electrónico.
Además de proteger el correo electrónico con un enfoque Zero Trust, también recomendamos:
Añadir numerosos controles contra el phishing en el correo electrónico en la nube. Como se señala en este blog de Forrester de junio: "El uso de aplicaciones de mensajería, colaboración, intercambio de archivos y software empresarial como servicio a través de numerosos dispositivos contribuye a mejorar la productividad y la experiencia de los empleados. Muchos de estos entornos se consideran "blindados", pero un ataque de phishing eficaz contra las credenciales de un socio de la cadena de suministro expone a tu organización a la pérdida de datos, el robo de credenciales, el fraude y los ataques de ransomware. Es vital ampliar los sistemas de protección desarrollados para la bandeja de entrada del correo electrónico a estos entornos y a los flujos de trabajo cotidianos de tus empleados".
Adoptar una autenticación multifactor (MFA) resistente al phishing. Aunque no todas las herramientas de MFA proporcionan la misma capa de seguridad, las claves de seguridad de hardware se encuentran entre los métodos de autenticación más seguros para evitar el éxito de los ataques de phishing. Pueden proteger las redes incluso si los atacantes consiguen acceder a los nombres de usuario y las contraseñas.
Dificultar la posibilidad de que los humanos cometan errores. Conoce las herramientas que utilizan los usuarios y equipos, y consigue que sean más seguras para evitar que cometan errores. Por ejemplo, la tecnología de aislamiento remoto del navegador (RBI), cuando se integra con la seguridad del correo electrónico en la nube, puede aislar automáticamente los enlaces de correo sospechosos para evitar que los usuarios se expongan a contenidos web potencialmente maliciosos. También se pueden desactivar las entradas de teclado en sitios web no fiables para evitar que los usuarios introduzcan accidentalmente información confidencial cuando rellenen formulario, o para impedir el robo de credenciales. Estas técnicas proporcionan una capa de protección contra los ataques de phishing multicanal, ya que permiten a los usuarios abrir enlaces de forma segura sin interrumpir su flujo de trabajo.
Si te interesa conocer todas las conclusiones, puedes descargar el informe sobre las amenazas de phishing en 2023 aquí, y consultar nuestras recomendaciones para prevenir con éxito los ataques de phishing. Si quieres probar la seguridad del correo electrónico de Cloudflare, puedes solicitar una evaluación gratuita del riesgo de phishing aquí.