Cómo los ataques de phishing con clasificación X intentan chantajear a sus víctimas


Este tipo de ataques utilizan la ingeniería social para explotar la naturaleza humana y, a menudo, apelan a intereses más lascivos, dice GreatHorn.

correo electrónico-datos-phishing-con-ladrón-cibernético-escondido-detrás-computadora-portátil-id1164097820-1.jpg

Imagen: iStock / OrnRin

Los correos electrónicos de phishing intentan atrapar a las personas presionando a sujetos diseñados para explotar sus miedos, intereses, ansiedades y curiosidad. A veces, esos temas son de carácter profesional o empresarial. Y otras veces son de naturaleza más private o incluso lasciva consideradas NSFW (no seguras para el trabajo). en un nuevo informe publicado el miércoles, el proveedor de seguridad GreatHorn analiza un par de campañas de phishing con clasificación X que intentan atraer a ciertas personas en un esfuerzo por chantajearlas.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Para su última investigación, GreatHorn descubrió que los ataques de phishing utilizan cada vez más content con clasificación X en correos electrónicos dirigidos a empleados corporativos. Entre mayo de 2020 y abril de 2021, el número de ataques de este tipo aumentó en un 974%. Los correos electrónicos generalmente se envían a personas con nombres que suenan masculinos en función de sus direcciones de correo electrónico.

Pero los atacantes en realidad están utilizando los correos electrónicos de phishing iniciales como preludio del chantaje. En la primera fase de la campaña, se anima al usuario a hacer clic en un enlace de correo electrónico que promete product o interacciones sexuales. Al hacer clic en el enlace, se envía automáticamente su dirección de correo electrónico al sitio vinculado. Usando esta técnica de transferencia de correo electrónico, los ciberdelincuentes están preparando a sus víctimas para el chantaje.

En la segunda fase, el atacante utiliza la dirección de correo electrónico y cualquier otra información obtenida para atacar a las personas susceptibles. El correo electrónico de seguimiento amenaza con extorsionar a cualquier usuario que haya hecho clic en los enlaces del primer correo electrónico y haya accedido a materials potencialmente comprometedor.

En su informe, GreatHorn destacó dos campañas diferentes.

En el primero, el correo electrónico dice ser de una mujer que quiere conocerte, ya sea en tu casa o en la de ella. Hacer clic en el enlace del mensaje lo lleva a un sitio con fotos, que lo dirige a lo que parece un sitio de citas. Pero este segundo sitio parece estar diseñado para engañar a las personas para que proporcionen información de pago. Todos los datos recopilados aquí se envían a los delincuentes que probablemente los utilizarán para retirar dinero, chantajear o realizar más fraudes.

Dynamic-phishing-email-example-1-greathorn.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/06/02/8e0774a2-a273-48a1-b04a-87c63008f515 /resize/770x/f78f631483adeda86061cde19587496d/dynamic-phishing-email-example-1-greathorn.jpg

Imagen: GreatHorn

En el segundo, el enlace del correo electrónico lo lleva a un sitio con fotos con clasificación X. Aquí, se le pedirá que confirme su código postal para encontrar posibles conexiones en su área. Este sitio también parece estar diseñado para capturar información de pago, y cualquier información recopilada se utilizará para chantajear y otras actividades maliciosas.

Dynamic-phishing-email-example-2-greathorn.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/06/02/b21f5ef2-8052-485b-8357-6b37cafdf8f0 /resize/770x/45aeeb42f87692e2b3702ff7c02b47ef/dynamic-phishing-email-example-2-greathorn.jpg

Imagen: GreatHorn

Para proteger a su organización y a los usuarios contra este tipo de correos electrónicos de phishing, el director ejecutivo y cofundador de GreatHorn, Kevin O&#39Brien, ofrece los siguientes consejos:

Proteja e involucre a sus usuarios. La antigua forma de pensar se centra en si un correo electrónico es bueno o malo. Pero las amenazas de correo electrónico de hoy a menudo caen en un área gris entre los dos lados. Como tal, una defensa basada en reglas estáticas que bloquea los correos electrónicos «malos» perderá los puntos grises. En su lugar, utilice herramientas de seguridad más inteligentes que resalten los aspectos inusuales de un mensaje. Al señalar contenido o elementos sospechosos en un correo electrónico, estas herramientas pueden reforzar cualquier escepticismo que pueda tener un usuario sobre un mensaje específico y ayudarlo a aprender a confiar en sus instintos.

Respalde la seguridad con capacitación. Ningún programa de formación en conciencia de seguridad garantizará que sus usuarios interactúen perfectamente con cada correo electrónico y tomen la decisión correcta en todo momento. Pero dicha capacitación puede cambiar la forma en que sus usuarios interactúan con el correo electrónico, en normal, para proteger mejor su organización. También puede adaptar sus esfuerzos de formación. Por ejemplo, si un usuario recibe ataques por correo electrónico más sofisticados, agregue esa táctica como otra capa de capacitación.

Deshágase del pensamiento «falso positivo» y «falso negativo». En su lugar, cambie a una mentalidad de «inusual» y «habitual». Diseñe sus defensas en torno a esos factores, estrechamente vinculados a Marco de ciberseguridad del NIST o para Modelo ATT & CK de MITRE.

Ver también



Enlace a la noticia unique