TOP 15 de Amenazas de ENISA - Phishing

 Continuamos con los informes del TOP 15 de amenazas de ENISA, y en este caso le toca al phishing. 

Como ya sabéis, el phishing es una técnica que busca robar información sensible o datos de autenticación a la potencial víctima a través de ingeniería social, generalmente, mediante correos electrónicos que parecen llegar de un origen legítimo. Sin embargo, es importante saber que el origen de estos ataques no es únicamente el correo, ya que los mensajes nos pueden llegar por SMS, a través de mensajes en redes sociales, software de mensajería como WhatsApp, etc.

El spear-phishing es la variante más peligrosa de este ataque, en la que se realiza un ataque dirigido contra personas concretas que previamente han sido investigadas, con el objetivo de aumentar las probabilidades de éxito del atacante.

Muchas veces el adversario busca explotar la respuesta emocional de sus víctimas, por lo que dentro del contexto de la concienciación, la simulación de ataques de phishing debe incluir este tipo de técnicas para preparar a los empleados de la organización.

Según el informe, se han producido pérdidas que exceden los 26.000 millones de dólares durante el 2019 a través del compromiso de correos mediante phishing, casi la mitad de los adjuntos maliciosos incluidos eran documentos de Office, y además se produjo un incremento del envío de mensajes del 667% en tan sólo un mes durante la pandemia del COVID-19.

Por primera vez, los servicios de pago han quedado en segunda posición como objetivo, siendo el principal objetivo las plataformas SaaS y de servicios de webmail, siendo uno de los principales objetivos los servicios de Microsoft 365. 

 Además, los adversarios evolucionan y la mayoría de ellos han desplegado sus ataques en webs con HTTPs habilitado, probablemente con el objetivo de engañar al usuario menos preparado.

Como sucedía con el malware, también se han identificado plataformas de Phishing-as-a-Service (PhaaS). Se mencionan más de 5000 kits de phishing detectados que se venden por cifras muy bajas ($50-$80 al mes) listos para lanzar ataques, y que además ya incluyen métodos de evasión mediante la codificación y el cifrado de los contenidos del email.

Las soluciones a este problema se pueden reducir mediante las siguientes aproximaciones:

• Aumentar la concienciación entre empleados, utilizando campañas de phishing internas para entrenar de forma práctica a los empleados.
• Usar gateways de seguridad de correo con antispam, antimalware, filtros de contenido, etc.
• Marcar todo correo que llegue desde el exterior como tal, para dificultar que un atacante pueda intentar hacerse pasar por alguien interno a la compañía.
  
• Deshabilitar la ejecución automática de código, macros, carga de imagenes de recursos externos, etc.
• Implementar correctamente SPK, DMARC y DKIM.
  

Nos vemos en el próximo post, ¡saludos!