Después de nuestro último artículo ¿Qué es el Phishing? Amenazas y trucos para detectarlos donde veíamos las maneras de identificar un ataque de phishing, hoy toca ver las maneras más utilizadas por los cibercriminales para engañarnos. Antes de todo conviene explicar el término “campaña”, y el por qué de su importancia.

Cuando un pirata informático o cibercriminal (término confundido comúnmente con el de hacker) decide suplantar a una compañía mediante un ataque de phishing, su éxito será directamente proporcional al número de personas a las que haga llegar el ataque.

Por ejemplo, un cibercriminal decide mandar un correo malicioso suplantando al “banco X” a 100 personas. De estas 100, 30 son clientes del “banco X”. Si de estas 30, 20 son expertos informáticos, y 5 han leído este artículo, a nuestro criminal solo le quedan 5 personas como víctimas potenciales. ¿Pero, qué pasaría si en lugar de 100 personas el criminal tiene una lista de 10.000.000? Esas 5 personas, se convertirían en una cantidad de víctimas mucho mayor.

Es por esto, por lo que se habla de campañas, ya que los ataques rara vez son dirigidos a una persona concreta. Los ataques se dirigen a un número muy elevado, buscando el mayor éxito posible. Al fin y al cabo, al atacante le da igual de quién sea el dinero.

¿Cómo lanzan las campañas de phising los atacantes?

A diferencia de lo que algunas personas tienden a pensar, este tipo de ataques son realmente sencillos. En los mercados negros (y en el propio internet) existen numerosas opciones para adquirir lo que se conoce como “Phishing Kit”. Estos kits son herramientas que permiten lanzar los ataques con unos pocos clics, campañas, que una vez lanzadas pueden ser monitorizadas y controladas desde el propio programa.
No obstante, a pesar de la relativa facilidad para conseguir uno de estos kits, está demostrado que una gran parte de ellos contienen código malicioso en su interior: “el cazador cazado”. Recordad, estas herramientas están creadas para hacer el mal (a excepción de kits educativos) por lo que la ética de estos vendedores de software no tiene por qué ser la esperada.

¿Cómo nos atacan?

Para que una campaña de phising sea exitosa, son importantes dos cosas.

  1. La apariencia de la página fraudulenta debe de ser lo más parecida posible a la página suplantada
  2. El ataque debe permanecer online el mayor tiempo posible.

A fin de asegurar que la página es similar, los kits ya disponen de plantillas realizadas cuidadosamente que clonan los sitios webs más populares. Cuando no están disponibles, los atacantes utilizan programas de clonado y ajustan manualmente los aspectos necesarios. ¡Ojo! Es aquí, cuando se suelen cometer faltas de ortografía y errores tipográficos, que nos sirven para detectar que estamos ante un phishing.

Una vez clonado, es necesario poner la web en internet, para ello, se suelen comprar dominios lo más parecidos al original. Por ejemplo, añadir vocales de manera sutil al nombre de un dominio: facebook.com (original) y faceboook.com (falso). En este caso, a fin de evitar ataques, Facebook también registró este nombre con una vocal adicional.

Mayor sofisticación del phising

Cuando los atacantes quieren ir más allá, pueden utilizar técnicas como el uso de caracteres especiales.

¿Qué pensaríais si os digo que es posible crear un dominio que se llame www.apple.com y además obtener un certificado TLS? Según lo explicado en el anterior artículo no sería posible, ya que un dominio que existe no puede volver a ser registrado. Pero… y si en lugar de ese dominio, quisiera registrar www.xn--80ak6aa92e.com? Podría, ya que el dominio es completamente otro. No obstante, cuando se representa en el navegador, visualmente parece apple.com.

Puedes leer más sobre este tema aquí.

Es aquí donde está el truco de los ataques homográficos / punycode. La buena noticia, es que cada vez está más controlado por los navegadores y la gran mayoría ya han optado por no representar los dominios.

Si queréis algo de información de esta técnica podéis leer este artículo.

Con todo esto, ya veis lo sencillo que puede ser poner a funcionar un ataque de phising. La gran mayoría de las compañías utilizan diversas técnicas para la detección y la protección de sus clientes y empleados ante estos ataques. Hablaremos sobre estas técnicas en el siguiente artículo.

Publicado el 29 de octubre de 2019