Uno de los ciber atacó más “viejo”, el phishing, no da señales de desmoronarse, de hecho en cambio, el fenómeno está en constante aumento. Pero no se trata más de viejas email donde el “famoso” príncipe nigeriano promete recompensas millonarias a cambio de una pequeña anticipación que depositó en su cuenta. Hoy, los hacker criminales se han evaluado y siempre más toman de mira los usuarios móviles mediante muchos vectores como SMS, plataformas de mensajerías instantánea, social media y cualquiera otra app que permite la compartición de link.
Y, gracias al hecho de que gran parte de nuestras informaciones personales están ahora en línea, los agresores pueden personalizar estos ataques de manera de hacerlos mucho más difíciles de individuarse y por esto con mayores posibilidades de suceso.
Los social media nacieron con el fin de conectarnos con los que conocíamos, pero también con las personas con las cuales compartamos intereses, pasiones o entornos laborales (podemos ver Linkedln). Por esta razón los criminales informáticos crean frecuentemente perfiles falsos donde se fingen colegas o amigos comunes para conectarte con ustedes y tener acceso a tus datos personales.
Como si no fuera bastante, los estafadores frecuentemente se unen a grupos de social media y publican link dañosos a un sitio que puede ser utilizado para recoger informaciones personales o credenciales de acceso.
Estos datos son utilizados para lanzar ataques phishing contra un número aún mayor de personas y organizaciones.
No sorprende que el phishing sea ahora responsable de casi un cuanto de las violaciones de datos..
Como la pandemia ha cambiado el paradigma hoy – También antes de las condiciones extraordinarias con las que todos hemos hecho las cuentas algunos meses pasados, el smart working – difundido cada vez más en las PYME – había puesto en discusión los clásicos paradigmas de defensa del perímetro empresarial.
Ahora, los aplicativos y los datos empresariales están por todas partes, sobre cada dispositivo o red que los empleados utilizan para el trabajo, incluido los endpoints personales y el WIFI doméstico.
La consecuencia de todos esto es que el riesgo de ataques phishing ahora tiene que ser gestionado también en los dispositivos no-empresariales, plataformas de social media y aplicaciones móviles.
Al comienzo del lockdown, las empresas se han concentrado principalmente sobre el mantenimiento de la productividad de los empleados en casa.
Pero después del stop de verano no ha sido un regreso a “la normalidad”, con muchos trabajadores que todavía prefieren el régimen de trabajo mixto entre oficina y casa.
Los criminales informáticos de esto son plenamente conscientes y están realizando sus exploit de phishing de consecuencia.
Saben que con pocas informaciones sobre un empleado y sobre sus empresa (que pueden ser fácilmente obtenidas desde los perfiles de los social media) pueden empezar una campaña de spear phishing contra cualquiera organización.
Sabemos, por ejemplo, que los agresores han utilizado el spear-phishing vía móvil en el ataque de Twitter de 15 julio.
Ha contactado un empleado de Twitter y, haciéndose pasar por su colega, ha podido engañar a aquella persona para hacerle compartir las credenciales de usuarios de su víctima.
El Hacker criminal ha sido capaz de falsificar el número de teléfono del empleado de Twitter mediante Sim Swap y probablemente ha obtenido las informaciones necesarias para impersonar el empleado desde los perfiles de los social media.
Una vez que ha sido capaz de renderizar el número de teléfono sobre el su dispositivo, ha podido interceptar las password una sola vez (one time password o OTP) utilizadas para la autenticación multi factor y elevar rápidamente sus privilegios dentro de la empresa.
El ataque de Twitter ha demostrado que un Hacker Criminal no necesita de hacer parte de una organización criminal informática global para hacer grandes daños.
Y si este ataque podría tener suceso contra una empresa como Twitter, podría probablemente funcionar contra cualquiera empresa, incluida la vuestra.
No son bastantes las simples medidas – confiarse principalmente en la autenticación multi factor y a las OTP para ofrecer un acceso seguro, no es de por sí incorrecto, pero es fácil comprender como un Criminal Hacker armado de detalles claves tomados desde los account de social media y de capacidad completar un ataque Sim Swap pueda fácilmente evitar esto niveles de seguridad.
Esto es la razón por la cual no podemos esperar que los empleados sean la única línea de defensa contra los ataques de phishing.
Piensalo: cada día su trabajo consiste en abrir los anexos y clicar sobre los links enviados desde los colaboradores, clientes, partner, proveedores y otros más. Si tuvieran que poner en tela de juicio cada link que puede ser clicado enviado a ustedes en el curso de una jornada de trabajo, ¿cuánto trabajo sería realmente hecho?¿Y cuánta ansia se creía en el proceso?
Por supuesto, las empresas necesitan proporcionar capacitación periódica para ayudar a los usuarios a mantenerse atentos contra los ataques de phishing, pero esto por sí solo todavía podría dejar espacio para las debilidades. Pero si fusionamos el entrenamiento con un enfoque de cero empujes para la seguridad cibernética, sin duda veremos una mejora notable en la resiliencia.
Este enfoque es un modelo de seguridad basado en el principio de mantener controles de acceso estrictos y no confiar en nadie de forma predeterminada, incluso aquellos que ya están dentro del perímetro de la red.
Por ejemplo, las empresas deben asegurarse de que los trabajadores inteligentes sólo puedan acceder a las aplicaciones de la empresa desde dispositivos administrados por TI, no desde el iPad o smartphone familiar de su cónyuge.
Esto prácticamente elimina el riesgo de robo de credenciales e interceptación de OTP e impide que los dispositivos no administrados o comprometidos accedan a los datos corporativos.
Un enfoque de empuje cero puede aislar su negocio de la vulnerabilidad más persistente y generalizada: el error humano.
FUENTE: FEDERPRIVACY