El Phishing “Whalers” Cuidado con la caza de ballenas

Es posible que últimamente hayas oído hablar del Whaling, una forma más específica de phishing donde individuos de cualquier nivel pueden ser pescados. ¿Somos conscientes de los peligros de esta «caza de ballenas«?

Mientras que los correos electrónicos de phishing son enviados a múltiples destinatarios con la esperanza de que alguno o varios caigan en la estafa, los correos electrónicos vía whaling se envían a personas escogidas que tienen mucha influencia en una empresa, para intentar conseguir su información personal y financiera.

¿Caza de ballenas? ¿De qué se trata?

A menudo, estos mensajes contienen direcciones falsas que afirman pertenecer a alguien dentro de la empresa. También es común que un correo electrónico ballenero afirme ser parte del Better Business Bureau o al FBI.

Muchos correos electrónicos de «caza de ballenas» tendrán un enlace que instala malware o conduzca al usuario a un sitio web que parece familiar y que probablemente le pedirá su información de inicio de sesión. Lo que sucede después es parte del problema. Envía tu nombre de usuario y contraseña y te informa que tus credenciales son incorrectas y que debes intentarlo de nuevo. Suena bastante inofensivo hasta ahora, ¿verdad?, pero después de todo esto, toda tu información ha sido robada y ahora serás redirigido a una página web real y legítima, donde puede iniciar sesión con éxito desde el primer intento.

Esta es la razón por la que siempre insistimos en que nunca hagas clic en enlaces en un mensaje de correo electrónico a menos que estés 100% seguro del mensaje y del contacto.

¿Cómo superan los «Whalers» los Filtros de Spam?

Los ciberdelincuentes a menudo utilizan nombres de dominio similares o direcciones de correo electrónico gratuitas, pretendiendo ser ejecutivos de negocios. Son capaces de evitar muchas medidas de seguridad porque sus mensajes a menudo no incluyen enlaces o archivos adjuntos de malware. Y debido a que no suelen contener vínculos, y a menudo están mejor escritos que el ataque de phishing estándar, son capaces de pasar más allá de los filtros de spam más fácilmente.

¿Realmente los ejecutivos caen por estas estafas?
Las estadísticas asustan

La «caza de ballenas» funciona porque las personas suelen caer en estas estafas. Los siguientes casos ilustran lo lucrativo que es el negocio de la caza de ballenas para los estafadores:

En el sistema de caza de 2008 de la corte de distrito de los EEUU , 20.000 CEOs fueron comprometidos. Aproximadamente 2000 de ellos cayeron víctimas de este esquema de email lo que llevó a nuevos ataques de hacking en las empresas afectadas, lo que resulta en pérdidas financieras significativas o daños a la reputación de la empresa.

Un ejemplo ejemplo de un correo electrónico falso, es el que parece oficial al ojo inexperto, pero al observar la dirección del remitente, nos damos cuenta que el dominio no es el oficial. Además, vale la pena señalar que los asuntos judiciales oficiales nunca se envían por correo electrónico.

Algunos datos curiosos:

En 2015, Mattel perdió $ 3 millones en un programa de caza de ballenas en el que un ejecutivo de finanzas respondió a una falsa solicitud de transferencia de fondos alegando venir del nuevo CEO de la compañía.

En el primer trimestre de 2016, 41 empresas fueron golpeadas con ataques de phishing dirigidos a los registros de impuestos de los empleados.

Más recientemente, el CEO de un fabricante austríaco de piezas para aviones fue despedido después de que la compañía perdiera 40,9 millones de euros (48 millones de dólares) en un ataque de Whalers.

Y a principios de este año, un hombre lituano de 48 años fue acusado de ataques contra Facebook y Google . En sus ataques de phishing, utilizó facturas forjadas, contratos y cartas que parecían haber sido firmadas por una empresa cuyo nombre había imitado registrando una compañía en Letonia con un nombre similar al de una empresa legítima comercial de Asia.

¿Cómo puedo reconocer la «caza de ballenas»?

Estos son algunos de los identificadores de los Whalers más comunes que se deben buscar en los mensajes de correo electrónico entrantes:

• ¿El nombre del remitente es el mismo que uno de mis nombres de usuario?
• ¿Es el dominio de envío similar a uno de mis dominios?
• ¿Está el dominio bien establecido, o es un dominio recién creado usado específicamente para propósitos de ataque?

Si un correo electrónico tiene sólo una de estas características puede no ser necesariamente una amenaza. Por ejemplo, si el nombre del CEO es Juan López, un correo electrónico de otro Juan López podría no ser tan peligroso, especialmente teniendo en cuenta lo común que es este nombre. Pero si recibe un correo electrónico de Juan López que tiene una o más de las otras características enumeradas anteriormente, como una que contiene una solicitud de pago, debe tratarla con un escrutinio adicional.

Evitar los ataques de Whaling es responsabilidad tanto del personal directivo como de los empleados. Seguir estos consejos puede ayudar a proteger tu negocio.

Educar al personal directivo superior

Una de las razones por las que el phishing y la caza de ballenas funcionan, es porque van dirigidos a individuos en posiciones ejecutivas o financieras dentro de una organización. Técnicas inteligentes de ingeniería social se utilizan para formar estos «grandes peces». La alta gerencia, el equipo de finanzas y los empleados en otros roles clave deben ser educados sobre los efectos de los ataques balleneros y cómo detectarlos. Deben aprender a reconocer las características comunes de los ataques de phishing como las direcciones de remitente falsas, las solicitudes de transferencia de fondos, los archivos adjuntos no reconocidos y los hipervínculos ilegítimos.

Echemos un vistazo a algunos ejemplos.

Ejemplo 1: Se registró un dominio similar al del dominio de la empresa.

Se recibe un correo en el que el dominio de envío es similar a un dominio legítimo, pero si ponemos más atención, vemos que han intercalado un dígito numérico en el dominio. nombre@int3rbel.es en vez de @interbel.es

Ejemplo 2: Spoofing en nombre de pantalla

¿El nombre de visualización en el campo De coincide con la dirección de correo electrónico? Por ejemplo, un email del Banco Santander como nombre, no tiene el dominio @santanderbank.com. Este es un ejemplo de spoofing de nombre de visualización, que es muy común.

Ejemplo 3: Direcciones de spoofing

Otra técnica de spoofing común es el spoofing en la dirección de entrada. Cualquier spammer puede falsificar cualquier dirección de correo electrónico, por lo que parece que el mensaje viene de una fuente real. Esto funciona porque los mensajes de correo electrónico contienen dos conjuntos de direcciones: la dirección del sobre y la dirección del encabezado del mensaje. Un ejemplo:

Al enviar una carta a través del correo de los Estados Unidos, el remitente necesita un sobre, la dirección del destinatario deseado y el contenido del mensaje (por ejemplo, el cuerpo o la letra del mensaje). El remitente coloca la dirección del destinatario en el sobre, pero la dirección del destinatario normalmente aparece dentro del sobre también, normalmente en la parte superior de la carta. La dirección en el sobre es donde se envía la carta, no la dirección en la carta en sí. Por lo tanto, estas direcciones pueden ser completamente diferentes.

El correo electrónico funciona de manera similar. Al igual que el Correo de los Estados Unidos, los mensajes de correo electrónico también tienen dos conjuntos de direcciones: las direcciones de los sobres, de dónde proviene el mensaje, a quién se dirige y la dirección del encabezado del mensaje, que es lo que ve el usuario en: campos en el mensaje. Estas direcciones no tienen que coincidir con el mensaje que se va a entregar. La mayoría de los mensajes de spam contienen direcciones de (encabezado) falsas.

Proteger, es la mejor prvención 

Implementar una solución de prevención de pérdida de datos basada en software, como SecurityGateway, que intercepta datos sensibles y lo pone en cuarentena antes de que tenga la oportunidad de salir su red. Las técnicas de prevención de fugas de datos exploran los mensajes de correo electrónico y los archivos adjuntos para obtener información altamente confidencial, como números del Seguro Social o de identificación fiscal, números de cuenta bancaria y números de pasaporte.

¿Preguntas o comentarios?

Las estafas de phishing y Whaling han estado ocurriendo durante años, y continuarán mientras la naturaleza humana dicte que la gente caerá en estas estafas. ¡No seas la próxima víctima, te recomendamos instalar una buena infraestructura de correo electrónico con las herramientas adecuadas para evitar los ataques balleneros!

Si tienes preguntas sobre nuestras recomendaciones de seguridad por correo electrónico, ¡envíanos un comentario! nuestro equipo de soporte podrá responder cualquier duda. Contáctanos llamando al teléfono +34 93 184 53 53 o mediante un email a soporte@interbel.es