Los ciberdelincuentes no dejan de innovar y tratan de engañar al usuario de múltiples formas para hacer su particular agosto como ha salido a relucir en Palabra de hacker en numerosas ocasiones por eso en cuestiones de seguridad en la red toda precaución es poca. Hay que observar siempre la evolución del phishing porque cuando el phishing avanzado entra en juego, cualquier persona estamos a un mal clic de ser una nueva víctima.
Las motivaciones que tienen para atacar y engañar a los usuarios son muy variadas, aunque principalmente está el lucro económico, también puede ser por espionaje industrial, por alcanzar algún tipo de poder o incluso por temas de hacktivismo.
Para conseguirlo se hacen valer de las diferentes técnicas de ingeniería social e intentar hacer caer hasta el más cauto. El phishing, la suplantación de identidad para conseguir información, datos o credenciales de manera fraudulenta, sigue siendo uno de los métodos más utilizados aunque ahora hay muchas más variantes ya no está solo el método del phishing clásico vía correo aunque este siga en plena vigencia.
En las Jornadas de Seguridad Informática TomatinaCON, el especialista en ciberseguridad Pablo González hizo un interesante repaso a la evolución de estas técnicas de ingeniería social que van del phishing al spear phishing, el retro phishing y así hasta llegar a un phishing avanzado, aportando varias claves que conviene tener en cuenta para evitar ser víctimas de estos engaños tan extendidos. La charla está disponible a continuación tanto en vídeo como en podcast.
Pablo González (@pablogonzalezpe) es Ingeniero Informático y trabaja actualmente en Telefónica Digital – ElevenPaths concretamente en el departamento de Ideas locas. Es co-fundador del blog Flu Project y autor de varios libros como ‘Pentesting con Powershell’, ‘Metasploit para Pentesters’, ‘Ethical Hacking’ o la novela ‘Got Root, el poder de la mente’.
Recomiendo repasar otras charlas suyas disponible en el canal: ‘La realidad supera la ficción. Cómo proteger la identidad digital‘ y ‘Malware moderno y modular‘ o el ciberdebate ‘¿Qué es la seguridad ofensiva?‘ en el que participó.
La evolución del phishing hasta llegar al phishing avanzado
El phishing más clásico que se identifica con el spam no tiene un objetivo dirigido, no va concretamente a por una persona en particular sino que funciona por volumen para tratar de pillar a cualquier usuario. Se envían X miles de correos electrónicos suplantando la identidad de una empresa/organismo/servicio oficial solicitando cualquier acción como hacer clic en una página web, descargar algún archivo adjunto, herramienta o aplicación o solicitan el usuario y contraseña de una cuenta con cualquier excusa.
Pues bien, si una pequeña parte de los usuarios que reciben ese correo ejecutan la acción, la ganancia ya está asegurada por eso no dejamos de ver día sí, día también este tipo de campañas y es que funcionan, vaya que si funcionan. Esto lo explica muy bien Alberto Ruíz Rodas en la charla ‘¡Spam con tomate! La curiosa historia del spam y cómo protegerse del phishing‘.
El spear phishing en cambio ya no funciona a volumen sino que los ciberdelincuentes ya trabajan con un objetivo definido, la campaña de phishing va directamente hacia una persona por un interés concreto o como vía para llegar a alguna otra persona de su interés y por ello se personalizan los envíos, se cuidan más los detalles.
Para que este engaño llegue a buen fin los autores se sirven de recabar cuantos más datos mejor sobre la persona que pretenden engañar. Consultan sus redes sociales, tratan de averiguar cosas sobre su estilo de vida, rutinas o cosas que esta persona conozca para hacerle creer que lo que le está llegando es real. Es una técnica más refinada pero que si funciona puede ser clave para alcanzar cualquier tipo de objetivo que se propongan.
El retro phishing lo que hace es dirigir al usuario a una página web real que simula perfectamente a la original. Esto se hace mediante un clonado de la página web real con el objetivo principal de obtener las credenciales del usuario para apoderarse de esos perfiles.
Una vez que el usuario llega a esta web que cree real e introduce sus claves, automáticamente se cierra esa página y se dirige al usuario rápidamente a la web legítima como si hubiera habido un fallo técnico o cualquier excusa similar sin que el usuario se percate de nada de lo que ha sucedido o si se percata el daño ya está hecho pues el ciberdelincuente se ha hecho con las credenciales del usuario desde la web suplantada. Si este no dispone de un segundo factor de autenticación activado para acceder a su perfil, se hacen con él. Así de simple, así de rápido.
Para demostrar lo sencillo que puede ser realizar todo esto, Pablo realiza una demo con la herramienta Social Engineer Toolkit que es un conjunto de scripts que sirven para realizar pruebas de concienciación pactadas en empresas u organizaciones pues cualquier otro uso que escape al educativo es totalmente reprobable y llevaría a la comisión de un delito.
Algunas técnicas novedosas de phishing avanzado
Dentro del apartado del phishing avanzado, Pablo advierte de los peligros del uso de la codificación Unicode extendida en los dominios web. Esto permite el uso de caracteres con codificación Punycode que pueden llevar a muchos engaños por el parecido razonable que algunos caracteres en cirílico tienen con otros caracteres del alfabeto romano por ejemplo. Debido a esto desde hace poco los navegadores web ya muestran los punycode para que se pueda advertir la diferencia entre los caracteres y evitar la gran cantidad de engaños que se estaban produciendo por esto.
El repaso a las técnicas de phising avanzado lo completa hablando de UIWeb Wiew que permite embeber webs dentro de las aplicaciones móviles y donde hasta hace poco no aparecía el dominio de la web sino tan solo el título de la misma facilitando así la realización de un phishing.
También comenta el tema de las Rogue Apps, que son aplicaciones que aparentan servir para una cosa pero tienen el fin oculto del robo de datos con el peligro que esto supone y que por regla general se encuentran para su descarga en sitios no oficiales para escapar a los controles de estos.
Además advierte de la facilidad de hacer un QRLJacking que es una técnica que permite el secuestro de un código QR con el riesgo que esto conlleva cuando de un tiempo a esta parte algunos servicios muy conocidos permiten el acceso a la sesión mediante uno de estos códigos como es el caso de WhatsApp.
Y por último se centra en SAPPO Spear App OAuth tokens que es la autenticación delegada y que tan extendida está en la mayoría de servicios webs. Resalta el hecho de que el usuario no le preste la atención debida a esto otorgando así demasiados permisos de por vida mientras no revoque ese acceso dado tan solo por la ‘comodidad’ de loguearse de esa forma sencilla vía Facebook, Google, Microsoft y no creando una cuenta con usuario y contraseña que recordar. No nos damos cuenta que la comodidad puede estar muy reñida con la seguridad acercándonos más aún al precipicio del engaño.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!
Muy propicio ahora mismo, pero seguimos sin tomar consciencia de es te peligro.
Cierto, nos cuenta aprender la lección en general y ser conscientes de la importancia que tiene el factor humano.