jueves, 15 de febrero de 2018

Spear Phishing, o cómo perder tus credenciales



Una de las técnicas más utilizadas por los ciberdelincuentes es la del spear phishing, pero ¿en qué consiste esta técnica y sobre todo, como defendernos?

Ante todo debemos saber que esta técnica consiste en el envío a  nuestro correo electrónico de un aviso aparentemente legal que nos pide que cliquemos sobre un enlace que aparece en dicho correo, muchas veces para que confirmemos los datos de nuestra cuenta de correo, o peor aún los de acceso a una cuenta bancaria o a un mayorista de ventas por internet.

Una vez que clicamos este enlace el hacker se encarga de introducir en nuestro sistema informático una serie de programas maliciosos con distintos fines o nos carga una página que nos pide que introduzcamos los datos de nuestra cuenta u otros datos de carácter confidencial.

Lo más temible es que los sistemas de protección difícilmente pueden detectar estos ataques ya que en muchas ocasiones somos nosotros mismos los que estamos entregando inocentemente nuestros datos secretos de acceso a distintas cuentas en una página aparentemente legal.

El Departamento de Seguridad Nacional Estadounidense (DHS) y la Agencia Federal de Investigaciones (FBI) denunció que un grupo ruso llamado APT28 en una operación llamada “Grizzly Steppe” lanzó este ataque a varios altos miembros del partido Demócrata para obtener sus credenciales de determinados servicios, haciéndose pasar por la organización prestadora real y solicitando un cambio de contraseña.

John Podesta, jefe de la campaña presidencial de Hillary Clinton de 2016, fue una de las víctimas del APT28. Toda su correspondencia fue filtrada en Wikileaksincluido el correo de Spear Phishing con el cual lo engañaron para obtener las credenciales de su cuenta de correo.

Para contrarrestar las estafas de spear phishing, debemos ser conscientes de las amenazas, como la posibilidad de recibir correos electrónicos falsos. Además de la educación, se necesita tecnología centrada en la seguridad del correo electrónico.

No hay comentarios:

Publicar un comentario