Los ciberdelincuentes buscan y rebuscan la fórmula con la que conseguir sus objetivos y muchas veces el medio usado es el phishing que es la suplantación de identidad para llevar a cabo su engaño. Hasta aquí nada nuevo bajo el sol.
En Palabra de hacker ha salido a relucir este tema en numerosas ocasiones siempre con el objetivo de informar para que todos aumentemos la guardia porque estas cosas están a la orden del día y cada vez se perfeccionan mucho más las fórmulas, cualquiera podemos ser una potencial víctima.
Para profundizar en este tema ahí están disponibles las charlas sobre ‘La curiosa historia del Spam y cómo protegerse del phishing‘, ‘PaaS. Phishing as a service, phishing avanzado‘, ‘Prevención de ataques de ingeniería social. Que no te la den con tomate‘ o los ciberdebates ‘Fraudes online. Cómo evitarlos e identificarlos‘ o ‘Ingeniería social: el arte de atacar al eslabón más débil‘.
A pesar de las advertencias ya sabemos que el usuario somos el eslabón más débil y, aunque no todos, muchos problemas de seguridad ocurren por un burdo engaño cuando los malintencionados se aprovechan de las técnicas de ingeniería social.
Aunque últimamente cobran fuerza las aplicaciones de mensajería instantánea y las redes sociales para distribuir enlaces maliciosos en los que al hacer clic salta la chispa que inicia un incidente de seguridad y empieza la pesadilla, el correo electrónico sigue siendo todavía uno de los principales vectores de ataque que se usan. Por eso aquí va un ejemplo práctico para ver la dimensión que puede tomar y el daño que puede provocar ‘un simple correo’.
Javi Payá (@Ninjavi_) es un administrador de sistemas reconvertido a ingeniero de seguridad. En su día a día está habituado a tener que analizar diversos tipos de incidentes de seguridad de los diferentes clientes por eso decidió compartir con la comunidad Hack&Beers uno de los casos en los que le tocó trabajar cuyo origen fue un phishing.
Se trata de una práctica charla en la que explica paso por paso cómo realizó todo el proceso de investigación a la inversa hasta dar con el origen para poder contener, mitigar y erradicar el incidente de seguridad que afectó a un cliente y que comenzó precisamente vía correo electrónico. La ponencia, que está disponible a continuación en vídeo y podcast, es el caso práctico que acompaña a la charla sobre ‘Cómo defenderse de los malos con Cyber Threat Intelligence‘ de Alex Casanova que ya está publicada.
¿Cómo se analiza un incidente de seguridad?
La resolución de este caso no resultó sencilla pero finalmente pudieron dar con la clave y resolverlo. Ante todo incidente de seguridad Javier recuerda que hay cuatro preguntas básicas a las que hay que dar respuesta siempre.
La primera de ellas es saber qué ha pasado, en este caso fue que un cliente detectó que se habían enviado correos en su nombre y por tanto había que averiguar cómo había sido posible que alguien accediera al correo. La siguiente cuestión es saber qué alcance ha tenido el incidente de seguridad para poder acotar el daño causado.
A continuación hay que tratar de averiguar cómo ha podido pasar para finalmente saber cómo se puede evitar que siga pasando, cómo se puede frenar la situación.
Obviamente cada analista de seguridad cuenta con una serie de herramientas con las que se siente más cómodo trabajando bien porque sean las más idóneas para cada caso, bien porque sean con las que mayor experiencia. A continuación menciono tan solo las herramientas que Javier usó para la investigación de este caso y que comenta en la ponencia.
Para realizar la auditoría sobre la estación de trabajo de la víctima:
Para el análisis de las cabeceras de los correos:
Herramientas para recabar todo tipo de información en fuentes abiertas en este caso sobre un correo:
- OSINT Framework.
- Maltego: https://www.paterva.com/web7
Herramientas para parsear los correos, obtener información:
Para recolectar evidencias de Office365:
- Audit Log Search, busca por usuario y actividad en los servicios de Office365 aunque está limitado a los últimos tres meses.
- Content Search, permite la búsqueda de contenido específico añadiendo condiciones, rangos de fechas, palabras clave, tamaño, emisor, destinatarios…
- Mail flow, permite obtener informes sobre los correos de la organización añadiendo filtros como Sender, Recipients, IP Address…
- Powershell.
Desde este enlace encontrarás la lista de reproducción con todas las charlas HackandBeers publicadas en el canal.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!
Muy interesante. Gracias por la aportación.
Muchas gracias.