Parte de mi trabajo es probar el elemento humano de la seguridad en las organizaciones mediante la creación y el lanzamiento de campañas de phishing (por encargo, es decir, ¡autorizado por la empresa!).
Ejecutar algunas simulaciones de campañas de phishing cada año podría reducir la probabilidad de que los empleados hagan clic en enlaces maliciosos, descarguen archivos maliciosos o proporcionen información interna crítica cuando se contacten con un atacante. Llevar a cabo estas actividades y luego discutirlas a través de la capacitación de extensión generalmente produce los mejores resultados.
En este breve artículo explicaré qué es el phishing y lo fácil que es crear una campaña de phishing, para que cada uno de nosotros seamos más conscientes de los riesgos a los que nos enfrentamos día a día nosotros y las empresas para las que trabajamos.
¿Qué es el phishing?
El phishing es una actividad de ingeniería social. Básicamente implica hacer que las personas realicen una acción mediante el envío de un correo electrónico.
El tipo más común es el phishing de credenciales, en el que el atacante intenta obtener acceso a nombres de usuario y contraseñas en texto sin formato para obtener un primer punto de entrada a la organización. Otros tipos de phishing pueden contener archivos adjuntos maliciosos, generalmente relacionados con una carga útil, un componente malicioso que ayuda a infectar un sistema, creado por otra persona (por ejemplo, Cobaltstrike).
El phishing es solo una de las formas en que un atacante puede establecer una primera posición interna, otras formas pueden ser vhishing (es decir, una forma de "phishing" vocal, realizada a través de una o más llamadas telefónicas al objetivo), smishing ("phishing ” transmitido por sms), u otras formas de manipulación a través de medios tecnológicos o no tecnológicos.
La fase de reconocimiento
Para comenzar con el phishing, al dirigirse a una organización, el primer paso es crear una base de datos de las personas que pueden estar trabajando allí (direcciones de correo electrónico y contactos). Hay muchas herramientas y plataformas gratuitas que permiten que cualquier persona recopile información de LinkedIn.
Figura 1- https://rocketreach.co/
Rocket Reach, como muchas otras plataformas, permite a los usuarios registrados descubrir correos electrónicos válidos que formaron parte de violaciones de datos. Con muy pocos intentos, puede encontrar un correo electrónico válido para la empresa de destino, entendiendo cómo está compuesto (p. nombre.apellido@nombreempresa.com) y haciendo que sea muy fácil llenar la base de datos.
Una vez que tengamos nuestra base de datos, si el objetivo es recopilar las credenciales de los empleados, necesitaremos hacer una enumeración web básica buscando los portales de inicio de sesión utilizados por la víctima y decidir cuál vamos a suplantar.
La fase de Armamento
La segunda parte de la fase preliminar es la armamentización o creación de armamento.
Si nuestro objetivo es recopilar credenciales, para empezar tendremos que preparar el entorno, lo que significa comprar el dominio que usaremos para la evaluación de phishing y configurar los registros relacionados con el servicio de correo electrónico. Para hacer las cosas más fáciles (y más inteligentes) solemos configurar el VPS (Servidor Privado Virtual, una instancia de un sistema que se ejecuta en un entorno virtual) con GoPhish, una plataforma que permite enviar correos electrónicos masivos y recopilar información en el campo.
Figura 2 - https://github.com/gophish/gophish
Una vez que el entorno está listo, procedemos a preparar la plantilla de correo electrónico. Aquí está la parte difícil: el contenido de la plantilla puede variar según el tipo de campaña, ya sea que esté dirigida o no.
En una campaña de phishing dirigida, generalmente agregamos un paso en la fase de reconocimiento en el que OSInt el objetivo para conocerlo: cómo se comunica, cómo está estructurado, cuáles son sus intereses y valores fundamentales, etc. para crear una plantilla de correo electrónico personalizada que motive a la mayoría de los empleados a realizar la acción deseada.
Cuando la campaña no está dirigida, suele transmitir temas de interés general (por ejemplo, bonos, loterías, etc.) que apelan a algún tipo de necesidad, deseo, miedo, etc., en el lector, induciéndolo a realizar una acción con el fin de para obtener algo que anhelan o para evitar que suceda algo que temen.
Cuando optamos por una campaña de robo de credenciales, entonces preparamos la página web que permite ingresarlas y posteriormente enviarlas a nuestro GoPhish (que marcará la acción como "ejecutada"). El portal que construimos generalmente tiene características (recopiladas durante la fase de reconocimiento) que recuerdan a la empresa, para parecer un poco más legítimo y generar confianza.
Lanzamiento de campaña y recopilación de información.
Una vez realizados todos estos pasos, se puede lanzar la campaña. Es más probable que las campañas se lancen en momentos "inconvenientes", como cerca de la hora del almuerzo o al final de la jornada laboral; por lo tanto, solemos elegir uno de estos dos momentos. Los atacantes intentan su inicio de sesión inicial en estas ventanas porque es más probable que los empleados estén distraídos o cansados y, por lo tanto, más inclinados a realizar la acción deseada.
GoPhish es muy útil a la hora de recopilar datos; El uso de un rastreador simple en el cuerpo del correo electrónico le permite a GoPhish realizar un seguimiento de qué usuarios abrieron el correo electrónico y cuántos hicieron clic en el enlace que aterrizó en nuestro portal malicioso. Finalmente, también realiza un seguimiento de los usuarios que han ingresado sus credenciales.
Todos estos datos podrían ser útiles para un atacante:
- El rastreador que le dice al atacante que el correo electrónico ha sido abierto confirmará la validez de la dirección de correo electrónico que podría usarse en una segunda campaña dirigida;
- La acción de hacer clic (incluso cuando no se sigue con el ingreso de las credenciales), podría señalar al usuario como un "punto débil" potencial;
- Las credenciales ingresadas podrían usarse para obtener un punto de acceso a la infraestructura de destino.
Conclusiones
Comprender cómo piensa y actúa un atacante puede ayudar a mejorar la defensa de una empresa.
Fortalecer el eslabón más débil de la cadena, casi siempre el hombre, podría beneficiar tanto a las personas como a la propia empresa.
La formación continua de los usuarios, no sólo ligados estrictamente al perímetro corporativo sino también al propio, podría beneficiar a ambas partes y por tanto ser más eficaz.
