Crédito:CC0 Public Domain
Tan sofisticado como el plan de los agentes de inteligencia rusos para interferir en las elecciones presidenciales de 2016, utilizaron una técnica de piratería sencilla, entre otros, para infiltrarse en las cuentas de correo electrónico de los operativos demócratas, según la última acusación del fiscal especial Robert Mueller. Y esa técnica, conocida como "spear phishing", sigue siendo una amenaza no solo para los funcionarios de campaña, sino también para los empleados y los consumidores.
El spear phishing es una estafa en la que los delincuentes cibernéticos se hacen pasar por fuentes confiables y envían mensajes electrónicos falsos a personas específicas para engañarlas para que revelen información confidencial.
En el caso de John Podesta, el presidente de la campaña presidencial de Hillary Clinton, era un correo electrónico engañoso que parecía una notificación de seguridad de Google, pedirle a Podesta que cambie su contraseña haciendo clic en un enlace incrustado, según la acusación presentada el viernes. Podesta siguió las instrucciones del correo electrónico, cambiar su contraseña y dar acceso a los piratas informáticos a 50, 000 de sus correos electrónicos.
Pero la pesca submarina podría venir en forma de un correo electrónico que parece provenir de su jefe, pidiéndole que envíe su formulario W2. O un mensaje con una factura esperada, solicitando que transfiera el dinero a una cuenta controlada por malos actores.
"La acusación realmente ilustra los muchos usos que se pueden dar a esta tecnología, "dijo Edward McAndrew, ex fiscal federal de delitos informáticos y codirector del grupo de seguridad de datos y privacidad de Ballard Spahr en Filadelfia. "No se trata solo de robar la información personal de alguien. Se trata de fraude financiero, o en este caso, incluso el fraude electoral ".
Cómo está hecho
En las estafas típicas de phishing, los ciberdelincuentes envían correos electrónicos generales a una gran cantidad de usuarios, con la esperanza de que alguien muerda el anzuelo y descargue un archivo adjunto infectado o haga clic en un enlace a un sitio web falso.
Estafas de spear phishing, por el contrario, se adaptan a objetivos específicos. Los piratas informáticos investigarán a un individuo con anticipación, escanear cuentas de redes sociales e información pública para conocer el trabajo de una persona, amigos o intereses para crear un correo electrónico confiable.
"Averiguarán dónde trabaja y quiénes son sus colegas y tratarán de enviar un correo electrónico falso que parece ser de uno de sus colegas, "dijo Gabriel Weinberg, CEO y fundador de DuckDuckGo, con sede en Paoli, un motor de búsqueda de Internet que no rastrea ni almacena datos de usuarios.
Eso es lo que pasó el martes en la empresa de Weinberg. Uno de sus empleados recibió un correo electrónico de un remitente con el nombre de Weinberg preguntando:"Necesito que me ayudes a ejecutar una tarea. Avísame si estás desocupado, "según una copia del mensaje. El remitente que se hizo pasar por Weinberg quería" regalar algunas tarjetas de regalo de Apple a algunos clientes ". Weinberg y su colega no mordieron.
La persona que se hizo pasar por Weinberg usó una dirección de correo electrónico que ni siquiera se parecía a la real. Pero Michael Levy, el jefe de delitos informáticos de la Oficina del Fiscal de los Estados Unidos en Filadelfia, dijo que los ciberdelincuentes suelen crear direcciones de correo electrónico que son casi idénticas a las de fuentes confiables, introduciendo una letra extra o utilizando un cero en lugar de una "O" mayúscula, " por ejemplo.
En algunos casos, como el hackeo ruso del Comité de Campaña del Congreso Demócrata, Los correos electrónicos de spear phishing dirigirán a los usuarios a sitios web falsos, donde las víctimas ingresarán sus credenciales y, sin saberlo, darán a los piratas informáticos sus nombres de usuario y contraseñas. En el caso DCCC, Luego, los agentes rusos instalaron malware en al menos 10 de las computadoras del comité, según la acusación, permitiéndoles monitorear la actividad informática de los empleados individuales, robar contraseñas y mantener el acceso a la red DCCC.
"Hay dos formas de acceder a las computadoras, ", Dijo Levy." Existe la piratería sofisticada en la que se descubre cómo atravesar un sistema de seguridad ... [o] se ataca el eslabón más débil del sistema de seguridad, y ese es el usuario ".
Una vez que los piratas informáticos tienen acceso al sistema de correo electrónico de una empresa, "se sentarán y observarán para aprender todo lo que puedan sobre las personas, "Levy dijo, agregando que los ciberdelincuentes pueden obtener cualquier cosa, desde los hábitos de correo electrónico de los empleados hasta el nombre de la esposa del presidente de la empresa.
McAndrew, de Ballard Spahr, dijo que una vez que los piratas informáticos acceden a una cuenta de correo electrónico, pueden leer los mensajes de un usuario, calendarios de trabajo y contactos, como si alguien estuviera "virtualmente mirando por encima de sus hombros".
"Puedes conocer los eventos antes de que sucedan leyendo sobre ellos, ", Dijo McAndrew." Ya sabes lo que se avecina ".
Los piratas informáticos conscientes de un próximo pago pueden atacar enviando correos electrónicos de spear phishing para engañar a los destinatarios para que transfieran dinero a cuentas bajo el control de los piratas informáticos. Dijo McAndrew.
Las víctimas de delitos de Internet sufrieron pérdidas por más de 1.400 millones de dólares en 2017, casi duplicando desde 2013, según un informe del FBI sobre el tema publicado en mayo. Los delitos enumerados como "compromiso de correo electrónico comercial / compromiso de cuenta de correo electrónico" representaron más de $ 676 millones de ese total de 2017, que representa la categoría más grande de pérdida.
Cómo protegerse
Una forma de reducir el riesgo de suplantación de identidad (spear phishing) es utilizar la autenticación multifactor, que agrega una capa adicional de seguridad al requerir no solo un nombre de usuario y una contraseña, sino conocimiento o posesión de algo que solo ese usuario tiene, como un código enviado a un teléfono celular.
"Incluso si te engañan y vas a un sitio falso y escribes tu contraseña, será inútil sin "la otra información, dijo Anthony Vance, director del Centro de Ciberseguridad de la Universidad de Temple.
Vance sugirió usar twofactorauth.org, que les dice a los usuarios si los sitios web admiten la autenticación multifactor. Los principales servicios como Google o Yahoo permiten a los usuarios activar el servicio.
Los expertos dijeron que las personas también deberían usar algo de sentido común. Resista la tentación de hacer clic en enlaces o archivos adjuntos de una fuente desconocida o un mensaje inesperado. Consulte con sus colegas antes de responder a un correo electrónico sospechoso.
"Lo primero que pueden hacer las personas es analizar cada correo electrónico que reciben, "Dijo McAndrew.
© 2018 The Philadelphia Inquirer
Distribuido por Tribune Content Agency, LLC.