5 pasos para investigar ataques de phishing



El phishing es una herramienta de ciberdelincuencia común y eficaz, pero incluso los actores de amenazas más sofisticados cometen errores que puede aprovechar en sus investigaciones.

En noviembre de 2020, Group-IB e INTERPOL revelaron detalles sobre la operación Falcon, que se dirigió a miembros de una pink de delitos informáticos nigerianos involucrados en el compromiso del correo electrónico comercial (BEC) y el phishing. La prolífica pandilla, apodada TMT, comprometió al menos a 500.000 empresas en más de 150 países desde al menos 2017.

El phishing es el principal vector de ataque de TMT. También sigue siendo la herramienta más common entre los piratas informáticos y estafadores de los estados nacionales, y casi todos los ataques involucran phishing: sitios world wide web, cuentas o envíos de correo con archivos o enlaces maliciosos. Durante casi 20 años, Group-IB ha acumulado una gran cantidad de conocimientos prácticos sobre la identificación de los ciberdelincuentes involucrados en el phishing. Pruebe los siguientes pasos para guiar su próxima investigación.

Paso 1. Análisis de datos iniciales, búsqueda de artefactos
Comience analizando el tipo de ataque de phishing, la línea de tiempo, el método de distribución, el contenido malicioso y los indicadores principales (correo electrónico, nombre del archivo adjunto, enlaces, dominios, and so on.).

Luego, analyze el señuelo que engañó a la víctima para que abriera el correo electrónico o el sitio world wide web maliciosos. Generalmente, el señuelo es un correo electrónico, un código malicioso o un sitio world-wide-web de phishing. Busque artefactos como:

  • Archivos adjuntos como documentos de pago falsos
  • Enlaces de phishing, que a menudo se disfrazan como URL legítimas
  • Sellos de tiempo enviados / recibidos, que ayudan a crear un cronograma de incidentes y, a veces, a determinar la zona horaria del remitente
  • Encabezados de correo electrónico (Envelope-From, Return-Route, Reply-to, Get-From), que puede permitirle extraer la dirección de correo electrónico genuine y el dominio del atacante, incluso a partir de detalles de correo electrónico falsificados
  • Encabezados adicionales (X-PHP-SCRIPT, X-ORIGINATING-SCRIPT), que son artefactos raros pero muy valiosos que permiten a los investigadores determinar scripts de correo específicos, URL y, a veces, la dirección IP

Los ataques de phishing pueden involucrar código malicioso. En nuestras investigaciones, no estamos particularmente interesados ​​en cómo funciona el código. Las cosas más importantes están en la superficie:

  • Direcciones IP y dominios utilizados para comunicarse con servidores de comando y manage y recursos externos Estos serán útiles al analizar la infraestructura del adversario.
  • La información de contacto de los desarrolladores que se deja en el código (p. Ej., Apodos, direcciones de correo electrónico, contactos de mensajería)
  • Comentarios de texto, notas, funciones de application inactivas, nombres de variables y funciones, estilo de codificación

Las URL que conducen a sitios de phishing a menudo se encuentran en correos dirigidos. El análisis de sitios internet de phishing incluye:

  • Analizar los datos de registro de WHOIS disponibles y los registros de DNS
  • Observando las características funcionales y la pila de tecnología del sitio internet
  • Examinar el código de la página website
  • Examinar formularios e interfaces de autorización
  • Seguimiento de la actividad de la pink cuando la aplicación cliente interactúa con el servidor world wide web de phishing

Los servidores que alojan contenido de phishing merecen una atención y un análisis especiales. Escaneamos puertos, buscamos directorios abiertos, realizamos fuzzing de URL y descubrimiento de contenido, examinamos certificados SSL y buscamos subdominios.

El objetivo principal de analizar los objetos de origen es encontrar una pista que ayude a atribuir la campaña de phishing. Estos van desde direcciones IP externas y nuevos dominios hasta identificadores publicitarios, apodos, números de teléfono y correos electrónicos.

Los ciberdelincuentes no dejan su dirección o número de teléfono actual en el código del sitio de phishing ni envían correos electrónicos desde sus propias cuentas (aunque sucede a veces). Sin embargo, cualquier acción deja un rastro, y el trabajo del analista es encontrar tantos rastros como sea posible y conectar los puntos.

Paso 2. Enriqueciendo su conocimiento sobre los atacantes
Maximice su conocimiento sobre el alcance de su visibilidad detectando otras campañas de phishing, incidentes nuevos y previamente desconocidos, proyectos de prueba, recursos no relacionados con la piratería y su círculo social más cercano. En un caso, la cuenta de Instagram de la novia de un atacante ayudó a identificar al actor de la amenaza. (La novia no estaba tan preocupada por su anonimato como él).

A menudo, incluso los piratas informáticos más exitosos tienen trabajos normales y llevan una vida standard. Intentan no mezclar sus actividades legales y criminales. Aquí es donde surgen algunas inconsistencias que ayudan a los investigadores a reconstruir cadenas de eventos y conectar los dos lados de la personalidad de un actor de amenazas.

Los atacantes son seres humanos y tienden a cometer errores, especialmente en las primeras etapas de sus carreras criminales. Es por eso que los «obsequios» como configuraciones incorrectas del servidor, información de contacto own especificada por mistake y apodos pueden identificar el lado legal de un pirata informático. Por ejemplo, un delincuente reutilizó un apodo que había usado en sus actividades de delitos informáticos en un foro médico, donde pedía consejo sobre una imagen de rayos X, que incluía su nombre completo.

Paso 3. Conectando los puntos
En este punto, si tiene suerte, tiene una base de datos completa de pistas como dominios, apodos, cuentas en foros de piratas informáticos y números de teléfono. Aquí entra en juego la inteligencia de código abierto (OSINT). Los indicadores comienzan a fusionarse en una cadena larga que va desde el ataque de phishing initial hasta una persona o grupo específico.

Las herramientas de análisis de gráficos de pink y los sistemas de atribución e inteligencia de amenazas, que almacenan información sobre infraestructuras adversas (por ejemplo, IP, dominios, servidores, and so on.), pueden ser de gran ayuda. Actualizan constantemente sus bases de datos de actores de amenazas. Si bien nunca podrá automatizar completamente sus investigaciones, puede utilizar estas herramientas para ayudar a definir su alcance.

Paso 4. Validación de las conexiones: la regla de tres
El siguiente paso es construir y probar hipótesis para crear una cadena de enlaces desde la actividad de phishing hasta personas específicas. Incluso si la investigación identifica a una persona específica, siga buscando información independiente adicional que ayude a demostrar su participación. Después de confirmar sus hipótesis con al menos tres hechos independientes, puede decir que identificó con éxito al atacante.

Paso 5. Arrestar a los criminales (si puede)
Incluso un excelente trabajo analítico y de investigación puede resultar inútil. ¿Cómo? Envision un caso en el que un atacante que vive en un país compromete a una empresa en otro país y utiliza la infraestructura ubicada en un tercer país. Digamos que incluso determina su ubicación física. Si los países no tienen tratados de extradición, no hay forma de arrestar al criminal.

Desafortunadamente, sin una cooperación transfronteriza eficaz, es imposible llevar a los piratas informáticos ante la justicia. El caso de la banda nigeriana TMT demostró que la sinergia entre las tecnologías de las empresas privadas y las capacidades de los organismos encargados de hacer cumplir la ley en la lucha contra el ciberdelito puede hacer que la detección y el enjuiciamiento de los ciberdelincuentes sea más eficaz.

Andrey Kolmakov dirige el equipo de Investigaciones de delitos de alta tecnología en Group-IB. Es un experto en ciberseguridad especializado en investigaciones de delitos cibernéticos. En su cargo, Andrey ha participado y dirigido varias investigaciones internacionales sobre adversarios motivados financieramente. … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary