¿Qué es el phishing? Una inmersión profunda en los mecanismos de ataque de phishing con consejos


El phishing es una técnica que se utiliza para robar credenciales, información personal y detalles financieros de un usuario. El atacante envía correo electrónico o texto para falsificar al objetivo, atrayéndolo a abrir enlaces o archivos adjuntos maliciosos.

Las formas más comunes en que los atacantes intentan ataques de phishing son a través de sitios de redes sociales, SMS y notificaciones por correo electrónico. Vemos un aumento repentino en los correos electrónicos de phishing utilizados para la recolección de credenciales, que los usuarios deben conocer.

Técnicas de ataque de phishing:

Las siguientes son técnicas de estafas de phishing junto con ejemplos:

1. Mecanismo de correo electrónico falsificado:

En esta técnica, el atacante envía un correo electrónico de phishing a la víctima que contiene documentos maliciosos como archivos adjuntos, enlaces legítimos y contenido en el cuerpo del correo para engañar a los usuarios objetivo. Esta técnica se usa a menudo para ataques de spear phishing donde los usuarios objetivo son específicos con identificaciones de correo electrónico conocidas por los atacantes.

Ejemplo 1 – Las víctimas seleccionadas reciben un correo electrónico con el asunto «Nuevo documento de fax del escáner Xerox» y un documento adjunto. Para ver el archivo adjunto, solicita la credencial de Microsoft Office del usuario objetivo. Los phishers intentan suplantar al objetivo agregando contenido legítimo en el correo electrónico.

Ejemplo 2Los usuarios objetivo son engañados por un correo electrónico que contiene documentos maliciosos pero enlaces y contenido legítimos en el cuerpo del correo.

La siguiente figura muestra uno de esos correos electrónicos falsos con un documento escaneado adjunto y un mensaje en idioma indonesio.

2. Texto oculto en la técnica de correos electrónicos de suplantación de identidad:

Los atacantes pueden insertar texto o enlaces de phishing en los campos ocultos del correo electrónico, que son invisibles para el usuario objetivo. El siguiente ejemplo muestra un correo electrónico con código malicioso oculto en el back-end y el correo electrónico parece legítimo para el usuario.

La siguiente imagen muestra un correo electrónico con texto y enlaces ocultos. Es posible que los mecanismos típicos de seguridad del correo electrónico no puedan detectar estos ataques.

3. Mecanismo de smishing:

En esta técnica, el atacante envía un SMS al usuario objetivo con enlaces maliciosos que lo redireccionan a un sitio web falso diseñado para robar información personal. Estos enlaces maliciosos tienden a descargar aplicaciones maliciosas en los dispositivos de las víctimas de forma automática.

Ejemplo 1 – En el siguiente ejemplo, el atacante intenta robar información personal mediante el registro de vacunación de Covid. El portal solicita depositar dinero por adelantado para la vacunación, prometiendo un reembolso después de que se haga, creando así el caos debido a la escasez.

Ejemplo 2 – Otro ejemplo del mensaje de WhatsApp de Dmart, donde los estafadores intentan engañar a los usuarios con tarjetas de regalo gratuitas. El mensaje afirma que el supermercado DMart está distribuyendo obsequios de forma gratuita para conmemorar su vigésimo aniversario.

El mensaje de estafa también incluye un enlace al sitio web, que redirige a un sitio de phishing donde los usuarios deben girar una rueda para ganar un premio. Para reclamar el premio, los usuarios deben compartir el mensaje con otros usuarios de WhatsApp.

4. Correo con documento de secuencia de comandos codificado adjunto:

En esta técnica, el atacante comparte la secuencia de comandos codificada con el usuario objetivo que no se puede leer hasta que se decodifica, y el código es difícil de entender para los usuarios habituales. El enlace malicioso está oculto en un código codificado. En algunos casos, el documento de secuencia de comandos adjunto contiene varias capas de codificación u ofuscación para evitar los filtros de seguridad.

El comando ‘sin escape’ es una función de JavaScript que se utiliza para decodificar datos de cadena en el siguiente ejemplo.

La dirección de correo electrónico de la víctima ya está incrustada, a veces en texto sin formato o codificada.

Otro ejemplo de la secuencia de comandos incrustada como un archivo adjunto en el correo de suplantación de identidad contiene texto sin formato en la secuencia de comandos, pero la URL maliciosa se oculta mediante la codificación Base64.

¿Qué pasa si caes en el ataque de phishing?

Si la víctima está accediendo al enlace de suplantación de identidad (phishing) desde el correo, se redirigirá a páginas falsas que se parecen a las legítimas.

A continuación, se muestra un ejemplo como la página de Microsoft SharePoint, que parece legítima cuando una ID de correo electrónico dirigida ya está presente y solicita una contraseña.

Otro ejemplo es la página de inicio de sesión de Adobe falsa con apariencia auténtica. Los archivos PDF adjuntos en los intentos de phishing no contienen ningún malware o código de explotación.

En cambio, los atacantes utilizan la ingeniería social para engañar a las víctimas para que visiten páginas de phishing y soliciten información personal.

Los archivos PDF se distribuyen por correo electrónico con una solicitud para proporcionar sus credenciales de correo electrónico para leer o descargar el archivo. Aparte de un enlace a un sitio de phishing, los archivos PDF no contienen código malicioso. Un servicio legítimo de Adobe no necesita correo electrónico ni contraseña.

En el spear phishing o el phishing de ballenas, no se le pide a la víctima que ingrese su dirección de correo electrónico, ya que ya está incrustada. A la víctima se le pide su contraseña antes de ser redirigida a la página legítima.

Generalmente, cuando se proporciona una contraseña, no arrojará un error por primera vez. En cambio, acepta la contraseña ingresada. Después de hacer clic en la opción de inicio de sesión, vuelve a redirigir a la página legítima, pero en segundo plano, el tráfico capturado se muestra a continuación, donde la ID de correo electrónico dirigida y la contraseña ingresada se envían en la solicitud POST a la URL de phishing. Como resultado, la víctima no tiene idea de que ingresó su contraseña en un sitio falso. De esta forma, los atacantes cosechan credenciales.

¿Cómo mantenerse seguro y protegido?

1. Verifique los detalles del remitente del correo electrónico: Verifique la información de la cuenta del remitente, las direcciones de correo electrónico y el nombre, entre otras cosas.

2. Verifique los enlaces y los archivos adjuntos sospechosos: Siempre verifique dos veces las URL / dominios de los enlaces. No acceda a ningún enlace o adjunto conectado en Mail hasta que haya sido validado.

3. Errores de contenido y ortografía: Siempre lea atentamente el contenido del mensaje y vuelva a comprobar el formato del correo electrónico. Busque errores gramaticales.

4. Solicitud de información personalSi el mensaje solicita compartir información personal, no proporcione ninguna información importante hasta que lo valide.

5. Ofertas que parecen demasiado buenas para ser verdad: Antes de hacer clic en cualquiera de estos enlaces para reclamar su recompensa, piense que la oferta que parece demasiado buena para ser verdad podría ser una trampa.

IoC:

URL e IP maliciosas:

  • http[:]// espléndido solo[.]xyz /
  • http[:]// experiencepo[.]cima/
  • https[:]//www.frigoglass[.]org / 2021 / caliente[.]php
  • https[:]// jsonip[.]com? callback =?
  • https[:]// pollyextreme[.]com / service / old[.]php
  • https[:]// almacenamiento de la base de fuego[.]googleapis[.]con/
  • https[:]// lecuris[.]com / factura / manzana[.]php
  • https[:]// almacenamiento de objetos[.]us-sanjose-1[.]oraclecloud[.]con/
  • https[:]//I[.]gyazo[.]com / 049bc4624875e35c9a678af7eb99bb95[.]jpg
  • http[:]//medios de comunicación[.]fc2[.]con/
  • https[:]// aysinturpoglucelik[.]com / jr / actions[.]php
  • http[:]// f0570529[.]xsph[.]ru / okp / actions[.]php
  • https[:]// alergybegonesucks[.]com / tfx / dhl[.]php
  • http[:]//www[.]tienen miedo[.]com / af / UZIE / actions[.]php
  • https[:]// mayhutsuahanoi[.]con/
  • http[:]// pulido por el sudor[.]rs / wp-incluye / certificados / login-chk[.]php
  • https[:]// loginmicros0ft0nl1newebserver[.]cf / xor / policy[.]php
  • https[:]// tráfico[.]enlace / 123
  • https[:]// grupodionisio[.]con[.]br / in / cat[.]php
  • https[:]// ceramnegar[.]co[.]ir / bb / barhty[.]php
  • http[:]//memorialgarden[.]con[.]br / sureboy / logz[.]php
  • https[:]//www[.]chicksinfo[.]com / wp-includes / js / dist / Nuru / actions[.]php
  • https[:]// lingaly[.]pl / agda / UZIE / acciones[.]php
  • https[:]// sharemybucketlist[.]com / lie / dhl[.]php
  • https[:]//ábaco[.]edu[.]np / lastman / accttion[.]php
  • https[:]// purplespiritmassage[.]com / enviar[.]php
  • https[:]// redes-inoxidables[.]000webhostapp[.]con / bebida / Obago[.]php
  • https[:]// omuniz[.]con[.]br / omwp / wpcontent / themes / TakedaSan / css / chk
  • oficina[.]php
  • https[:]// worldfreeware[.]co / wpcontent / plugins / ygynxqjpyo / mills /
  • cálido[.]php
  • 167[.]172[.]146[.]28
  • 3[.]139[.]50[.]24

Amruta Wagh



Enlace a la noticia original