Un día en la vida de un analista de ciberseguridad SOC contra phishing

En este artículo estás a punto de aprender cómo manejamos los correos electrónicos de phishing. Sé que probablemente estás pensando que el phishing es muy fácil de evitar, simplemente no hagas clic en los correos electrónicos obvios que parecen estafas. Bueno, después de trabajar durante unos meses, he encontrado casi todos los tipos de correos electrónicos que te puedas imaginar, y no siempre son tan obvios. Aproximadamente la mitad de nuestras alertas como nuevos analistas son correos electrónicos de phishing, por lo que esta es una gran parte de nuestro trabajo en este momento. Analicemos qué tipos de correos electrónicos de phishing existen y cómo investigamos y prevenimos las intrusiones. Comencemos.

Tipos de correos electrónicos de phishing

Tenemos los correos electrónicos donde es bastante obvio, solo con la gramática, que algo no está bien. Estos son fáciles de detectar, pero a veces, cuando alguien está ocupado y solo hojea un correo electrónico, podría no darse cuenta de los errores gramaticales y hacer clic en ese documento urgente que requiere aprobación. También, ten en cuenta que nuestra empresa tiene empleados en todo el mundo, por lo que el inglés podría ser su segundo idioma y para ellos no sería una señal de alarma. Luego, están los correos electrónicos que te amenazan con filtrar información si no depositas una cantidad de Bitcoin. Estos juegan con el miedo de perder el trabajo y la reputación de alguien. Aunque son correos electrónicos obvios de phishing, hay personas en la empresa que pueden caer en la trampa pensando que realmente les captaron en un sitio web para adultos. También están los correos electrónicos que intentan recopilar credenciales, que son la mayoría de los correos electrónicos de phishing reales con los que lidiamos. Estos correos electrónicos pueden venir de cuentas de Gmail aleatorias, cuentas de negocios comprometidas o incluso con direcciones de envío falsificadas, y generalmente se describen como algo que necesitan ver con palabras clave comerciales y un sentido de urgencia al usar palabras como «urgente», «inmediato», «en las próximas 24 horas». También está la táctica de «haz clic aquí para revisar tus correos electrónicos en cuarentena», que es un tipo común de correo electrónico que alguien podría recibir, pero es posible que no se dé cuenta de que el remitente es una dirección aleatoria y no de su proveedor de correo electrónico en cuarentena, por ejemplo, microsoft.quarantine.

Por último, y en realidad son los correos electrónicos maliciosos menos comunes que recibimos, están los correos electrónicos de ingeniería social que intentan entablar una conversación con un empleado interno para ganar su confianza y comprometer su cuenta o filtrar datos más adelante en la comunicación. También hay mensajes secretos ubicados de manera extraña en correos electrónicos de creación de cuentas automática de nuevos sitios, como EdTalk, donde uno de nuestros usuarios internos recibirá un correo electrónico de creación de cuenta con una larga cadena de caracteres chinos como nombre de cuenta, que aparecerá en el correo electrónico automatizado como «Hola, ingresa tu nombre aquí cuando crees una cuenta», pero en este caso, era una larga cadena de texto aleatorio traducido aproximadamente a «envía dinero a esta cuenta», tiene que ser el peor método de solicitar dinero que he visto. Los correos electrónicos de phishing, desafortunadamente, tienen estadísticas aterradoras que pueden sorprenderte, pero también me proporcionan seguridad laboral. Según cybertalk.org, el 30% de los correos electrónicos de phishing se abren, el 42% de los trabajadores admiten haber tomado una acción peligrosa, como hacer clic en un enlace desconocido, descargar un archivo o exponer datos personales en línea, aproximadamente el 65% de los atacantes cibernéticos utilizan el spear phishing como su principal vector de ataque. El spear phishing es un tipo de phishing dirigido, generalmente a ejecutivos de alto nivel o personas con acceso a datos útiles. El 60% de los líderes en seguridad informática afirman que sus organizaciones han perdido datos debido a correos electrónicos de phishing. El 52% ha experimentado la compromisión de credenciales debido al phishing y el 47% ha enfrentado ransomware debido a correos electrónicos de phishing. Como puedes ver, todavía estamos en guerra con los correos electrónicos de phishing y la educación de todos en prácticas de prevención adecuadas.

Artículos relacionados  Cómo los hackers atacan a las grandes empresas (es tu código)

Cómo enfrentamos los correos electrónicos de phishing

Existen dos métodos principales de prevención: los correos electrónicos de phishing notificados por los usuarios y los filtros de correo electrónico impulsados ​​por el aprendizaje automático. Los correos electrónicos de phishing notificados por los usuarios son aquellos en los que una persona ve un correo electrónico y piensa que algo es extraño, por lo que lo reporta y luego lo investigamos. Estos son especialmente útiles cuando se trata de correos electrónicos muy bien elaborados que nuestro filtro de correo electrónico no puede detectar. Sin embargo, diría que menos del 10% de los correos electrónicos notificados por los usuarios son en realidad de phishing. Gran parte de nuestro trabajo con los correos electrónicos notificados por los usuarios es decirles que todo está bien y no hay nada malicioso en el correo electrónico.

El segundo método es nuestro filtro de correo electrónico impulsado por el aprendizaje automático. Este filtro detectará la mayoría de los correos electrónicos que intentan recopilar credenciales, ya que el motor de aprendizaje automático analizará los enlaces en el correo electrónico y determinará si los sitios a los que se dirigen tienen algún tipo de solicitud de inicio de sesión. También se encarga de eliminar estos correos electrónicos del entorno. Entonces, si todo va según lo planeado, un correo electrónico de phishing entra, se marca como intento de recopilación de credenciales, se elimina el correo electrónico y se cierra la alerta. Sin embargo, ciertas cuentas de correo electrónico necesitan un acceso adicional que el filtro no puede alcanzar, por lo que tenemos que realizar algunos pasos adicionales. Quitamos el correo electrónico del entorno y luego podemos cerrar la alerta. En cualquier caso, ya sea mediante correos electrónicos de phishing notificados por los usuarios o el filtro de correo electrónico, el proceso de investigación sigue siendo el mismo.

Echo un vistazo rápido al remitente, el encabezado del correo electrónico, la respuesta a y cualquier otra información de encabezado de mensaje que pueda ser útil para indicar si el remitente es falso o no. Si el remitente real es una dirección oscura, como por ejemplo, una dirección .ru, entonces me da un sentido de urgencia. Verifico cada enlace en el correo electrónico utilizando un entorno seguro. Utilizaré «any.run» o «URLscan» si estoy seguro de que el enlace no contiene ninguna información comercial real (énfasis en la palabra «real» porque definitivamente no queremos que se filtre información comercial a través de nuestras investigaciones, eso sería motivo de despido y me gusta mi trabajo). Si no estoy seguro de si contiene información comercial real, ejecutaré la URL en «Crowdstrike sandbox», que ha sido suficiente hasta ahora para evaluar lo que hay dentro del enlace o URL. Algunos de ustedes podrían estar pensando por qué habría un enlace a información comercial sensible, ¿no podría simplemente estar adjunta en el correo electrónico desde el principio? Pues bien, los enlaces de OneDrive son una realidad, al igual que otros sitios similares que ofrecen almacenamiento de documentos, y a menudo en esos casos es mucho más difícil determinar si es malicioso o no, porque realmente tienes que hacer clic en el enlace, algo que es malo si no estás en el equipo de seguridad. Otros factores a los que presto atención son el historial de comunicación del remitente, si tiene sentido que este correo electrónico llegue ahora, hubo un lapso de tiempo desde la última vez que hablaron y ahora. Si hay un lapso en la comunicación, generalmente es una indicación de que la dirección del remitente está comprometida. También verifico si el destinatario (la persona que recibió el correo) está en copia oculta (BCC). Una táctica común de phishing es enviar un correo electrónico a una gran lista de correos electrónicos en copia oculta para evitar recibir cientos de correos electrónicos de vuelta si el envío es a una lista muy desactualizada.

Artículos relacionados  Un día en la vida de un analista de ciberseguridad: ¡Aprende estas herramientas de seguridad YA!

Una vez que hemos determinado si el correo electrónico es malicioso o no, debemos determinar si la persona que lo recibió hizo clic en los enlaces del correo electrónico. Para ello, comprobamos los registros de red. Si no podemos determinar con un 100% de certeza que no hicieron clic en los enlaces, entonces restableceremos su contraseña y notificaremos a su jefe que cometieron un error. No les decimos directamente que su cuenta potencialmente ha sido comprometida, simplemente les informamos que restableceremos la contraseña y les proporcionamos una nueva. Diría que restablecer contraseñas ocurre aproximadamente una o dos veces por semana. No es terrible considerando el tamaño de la empresa, y la mayoría de las veces lo hacemos solo por precaución y no porque las cuentas estén realmente comprometidas. Aún no ha sucedido, pero si alguien llegara a abrir un archivo adjunto o abrir un archivo descargado desde un enlace, entonces también tendríamos que reimprimir su computadora solo para estar seguros. Lo que más me gusta escribir en las notas de los tickets es «por precaución».

Con los correos electrónicos de phishing notificados por los usuarios, por supuesto, existe la posibilidad de que sean falsos positivos. Constantemente escribo en mis notas «no estoy seguro de por qué se informa esto, pero lo entiendo, solo quieres estar seguro y asegurarte de que no haya nada malicioso». Sin embargo, con los filtros de correo electrónico, raramente hay falsos positivos gracias a nuestra afinación. Ha habido algunos casos, en esos casos debemos ir y desactivar la cuarentena del correo electrónico, lo que simplemente envía el correo electrónico de vuelta a la bandeja de entrada del usuario. Y si el filtro continúa bloqueando los correos electrónicos de este remitente, entonces debemos ir y ajustar el filtro con excepciones para permitir que el tráfico pase. A menudo, esto incluye contactar al proveedor del filtro de correo electrónico para que realicen algunos ajustes también.

Artículos relacionados  Conviértete en experto en ciberseguridad sin experiencia

Resumen:

Aquí tienes un resumen de lo que hemos cubierto en este artículo sobre cómo manejamos los correos electrónicos de phishing:

Tipo de correo electrónico de phishingTácticas utilizadasEfectos y estadísticas
Correos electrónicos con errores gramaticalesAprovechan la falta de atención o el inglés como segundo idioma.30% de los correos electrónicos de phishing se abren.
Correos electrónicos de chantajeExploran el miedo a perder el empleo y la reputación.42% de los trabajadores realizan una acción peligrosa.
Correos electrónicos de recolección de credencialesUtilizan palabras clave y un sentido de urgencia.65% de los atacantes cibernéticos usan spear phishing como principal vector de ataque.
Correos electrónicos de ingeniería socialBuscan ganar confianza o filtrar datos de forma sutil.60% de los líderes en seguridad informática han perdido datos debido al phishing.

Preguntas frecuentes

Aquí hay algunas preguntas frecuentes sobre el manejo de los correos electrónicos de phishing:

  1. ¿Qué sucede si una persona hace clic en un enlace de phishing?
  2. Si no estamos seguros de si hicieron clic en los enlaces, restablecemos su contraseña y notificamos a su jefe para asegurarnos de que tomen precauciones adicionales.

  3. ¿Cuántos correos electrónicos de phishing son reportados por los usuarios?
  4. Menos del 10% de los correos electrónicos notificados por los usuarios terminan siendo correos electrónicos de phishing legítimos.

  5. ¿Qué sucede si el filtro de correo electrónico bloquea un correo legítimo?
  6. Nos encargamos de desactivar la cuarentena del correo electrónico y ajustar el filtro con excepciones para permitir el tráfico del remitente.

  7. ¿Cuál es la táctica más común utilizada en los correos electrónicos de phishing?
  8. La táctica más común es la recolección de credenciales con palabras clave comerciales y un sentido de urgencia en el asunto y el cuerpo del correo electrónico.

Espero que esta información haya sido útil para aquellos que están comenzando. Definitivamente es la parte más fácil de mi trabajo, pero también ocupa una gran parte de él, ya que soy el nuevo analista del equipo y aún no se me ha asignado las responsabilidades más emocionantes de inteligencia de amenazas y ajustes. ¡Muchas gracias por leer! Lamentablemente, no he podido publicar nuevos artículos en las últimas semanas debido a la pérdida de mi padre a principios de mes de manera inesperada, a mi contagio de covid y a una gripe posterior. Como pueden notar, mi voz aún no está del todo bien, pero haré todo lo posible para publicar con más regularidad. ¡Gracias de nuevo por leer! Descansa en paz, papá.

Si te interesa conocer más sobre ciberseguridad y phishing, te recomiendo que leas estos artículos relacionados:

  • Los diferentes tipos de ataques de phishing y cómo protegerte
  • Consejos para reconocer y evitar los correos electrónicos de phishing
  • La importancia de la educación en ciberseguridad para prevenir el phishing

Espero que encuentres estos recursos útiles y gracias de nuevo por seguir leyendo. ¡Nos vemos en el próximo artículo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *