Phishing de clonado (Clone Phishing)

A medida que más organizaciones van informando y capacitando a los usuarios sobre el phishing, los atacantes van encontrando nuevas formas de eludir esta formación y engañar a los usuarios para que caigan en el robo de credenciales. El phishing de clonado, que es similar al secuestro de hilos de correo electrónico (thread hijacking), es uno de los tipos más recientes de amenazas basadas en el correo electrónico en la que los atacantes clonan un mensaje de correo electrónico real con archivos adjuntos y lo reenvían haciéndose pasar por el remitente original. Los archivos adjuntos se sustituyen por malware, pero tienen el mismo aspecto que los documentos originales.

Supongamos que tiene un proceso empresarial en el que envía un documento a un cliente en un correo electrónico, le hace firmarlo y, a continuación, el cliente le devuelve el documento en un correo electrónico. Mediante el phishing de clonado, un atacante envía un mensaje o inicia el proceso de recepción de un correo electrónico de su empresa. Cuando se envía el mensaje de respuesta, el atacante cambia los documentos legítimos adjuntos por un virus. Si sus empleados no son capaces de detectar los archivos adjuntos malintencionados del correo electrónico, pueden ser engañados para que instalen malware en sus equipos.

El clone phishing no siempre funciona con respuestas a mensajes de correo electrónico. A veces, el ataque se lleva a cabo copiando un mensaje de correo electrónico enviado habitualmente por una entidad empresarial conocida y enviando a un destinatario objetivo una copia del correo electrónico legítimo. Este correo electrónico malintencionado contiene archivos adjuntos de malware utilizados para instalar rootkits, ransomware o cualquier otro tipo de software utilizado para robar datos.

La forma en que un atacante recibe el mensaje original depende de su forma de hacer negocios. Podría enviar un mensaje de correo electrónico de bienvenida a cada usuario que se suscriba a un boletín o enviar un documento PDF para que los usuarios lo firmen para aprobar transacciones. Otra oportunidad utilizada son los mensajes de correo electrónico del servicio de atención al cliente. El atacante se pone en contacto con el servicio de atención al cliente y responde con un mensaje con contenido malintencionado.

Independientemente del mensaje inicial, el phishing de clonado suele tener éxito, ya que los destinatarios reciben una respuesta a un correo electrónico legítimo en lugar de un mensaje nuevo como en un ataque de phishing estándar. También es más probable que los filtros de correo electrónico permitan una respuesta malintencionada, ya que procede de un usuario legítimo y se envía utilizando canales legítimos.

Algunos ataques de phishing de clonado se dirigen a usuarios concretos, pero los atacantes suelen enviar varios mensajes al mismo tiempo a empleados aleatorios. Basta con que un empleado caiga en el ataque para comprometer la red de una organización. El ransomware es uno de los ataques de malware más comunes utilizados en el phishing de clonado, pero la carga útil de los archivos adjuntos malintencionados podría ser cualquier cosa, desde rootkits que dan a cualquiera acceso a la máquina del empleado de forma remota o simples keyloggers que roban contraseñas.

El phishing de clonado es mucho más difícil de detectar que un mensaje de phishing estándar. En un mensaje de phishing estándar, el contenido suele estar mal escrito y procede de una fuente desconocida. Con el phishing de clonado, el usuario reconoce el mensaje, lo que facilita al atacante engañar al destinatario.

A modo de ejemplo, la mayoría de los usuarios están familiarizados con la forma en que está estructurado un mensaje de PayPal. PayPal envía correos electrónicos de saldo cada mes a los usuarios con cuentas financieras. Un atacante podría clonar un mensaje de PayPal diciendo al destinatario que debe pagar su saldo. En lugar de enlazar con el sitio legítimo de PayPal, el botón apunta a un servidor controlado por el atacante que suplanta el sitio web de PayPal.

En un ejemplo empresarial, supongamos que tiene un mensaje que se envía cada vez que un lector se suscribe al boletín corporativo. El mensaje contiene la dirección de correo electrónico del lector con los mensajes y archivos adjuntos que se suelen enviar. Un atacante podría copiar el mensaje que recibe normalmente y sustituir los enlaces por otros que apunten a otro sitio para engañar a los usuarios para que divulguen sus credenciales o descarguen malware.

El phishing de clonado suele enviarse desde una dirección de correo electrónico legítima, por lo que no es necesario falsificar el correo electrónico (aunque a veces también se utiliza la suplantación de identidad). Dado que el correo electrónico procede de una dirección legítima y no ha sido suplantado, el mensaje llega entonces a la bandeja de entrada del usuario, independientemente de la ciberseguridad existente para detener los mensajes de correo electrónico malintencionados.

Siempre es un reto para los empleados reconocer un correo electrónico legítimo de uno clonado. El reto para los equipos de seguridad consiste en formar a los usuarios a través de programas de formación de concienciación sobre seguridad acerca de las muchas formas en que los atacantes utilizan el sistema de correo electrónico para comprometer una red empresarial. Detectar un correo electrónico de phishing requiere intuición humana y la capacidad de detectar los matices relacionados con los ataques de phishing.

Si un correo electrónico está redactado de forma extraña o juega con el sentido de urgencia del usuario, podría tratarse de un ataque de phishing. Los correos electrónicos clonados pueden tener buena gramática y ortografía, pero la mayoría de las estrategias consisten en empujar al destinatario a realizar una acción sin pensar antes en sus implicaciones. Normalmente, los usuarios se dan cuenta de que un correo electrónico es un ataque de phishing cuando ya es demasiado tarde y después de instalar malware o filtrar sus credenciales.

Cualquier correo electrónico que pretenda llevar a los usuarios realicen una acción rápida, sin darles tiempo a pensar en las consecuencias, debe tratarse en consecuencia. Los atacantes amenazan a los usuarios con el cierre de la cuenta, la pérdida de dinero o problemas legales para empujarles a caer en la trampa del correo electrónico de phishing de clonado. Un correo electrónico puede contener un enlace malintencionado que indique a los usuarios que deben hacer clic en él e iniciar sesión antes de perder su cuenta o responder al correo con información confidencial o enfrentarse a la pérdida de su empleo.

En lugar de hacer clic en los enlaces, los usuarios deben escribir el dominio en sus navegadores. Los enlaces conducen a distintos tipos de páginas de phishing. El enlace podría apuntar a una página que parece la página de autenticación oficial de una empresa en un esfuerzo por engañar a los usuarios para que divulguen sus credenciales. Podría apuntar a una página que parece una página de autenticación de terceros, como Google u Office 365. Otra opción podría apuntar a una página que descargue malware en el dispositivo del usuario objetivo.

Los mensajes de clone phishing nunca son iguales, pero suelen tener elementos similares. El mensaje suele tener una redacción que lo hace parecer un asunto urgente, y tiene un enlace malintencionado o un archivo adjunto.

A continuación, puede ver un ejemplo de mensaje:

Asunto: Problema urgente con su cuenta

Mensaje: Hola, gracias por ponerse en contacto con Empresa Falsa C.A. con su solicitud. Haga clic aquí para leer el mensaje de nuestro representante de atención al cliente. [insertar enlace malintencionado]

En el asunto, el mensaje transmite una sensación de urgencia al destinatario. El mensaje simula proceder de una empresa oficial y es un clon del mensaje automatizado de atención al cliente de la empresa falsa.

Un atacante envía este mensaje a miles de personas potencialmente con la esperanza de obtener credenciales que serán vendidas en los mercados de la darknet.

El clone phishing y el spear phishing tienen algunas similitudes, pero presentan diferencias y estrategias distintas. Ambos son eficaces para comprometer un entorno empresarial, pero tienen estrategias distintas. En ambos casos, las empresas necesitan una formación eficaz en ciberseguridad para que los usuarios puedan detectarlos mejor.

Las estrategias de spear phishing se dirigen a usuarios con privilegios elevados. Un ejecutivo, un empleado de recursos humanos, un contable o un administrador de red son ejemplos de usuarios con privilegios elevados. Los usuarios con privilegios elevados son aquellos con un amplio acceso a datos delicados. Con estas credenciales, un atacante obtiene acceso a información valiosa que podría utilizar para vender en los mercados de la darknet.

Otra ventaja del acceso con privilegios elevados es la capacidad de explorar la red con una autoridad elevada. El ransomware o los rootkits que se ejecutan con credenciales de alto privilegio podrían tener acceso a espacios de almacenamiento compartidos que, de otro modo, estarían bloqueados en cuentas de menor privilegio.

El phishing de clonado podría utilizar elementos del spear phishing, en el sentido de que podría dirigirse a usuarios con privilegios elevados, pero el spear phishing estándar utiliza cualquier mensaje. En un ataque de phishing de clonado, el mensaje es uno familiar utilizado por una empresa oficial o por la propia empresa objetivo. El mensaje puede ser una respuesta de un mensaje automatizado enviado por la empresa objetivo, o puede ser un clon de un mensaje oficial de una empresa con la que trabaja la organización objetivo.

Las empresas tienen a su disposición una variedad de medidas de ciberseguridad para detener los ataques de phishing de clonado. Es un reto para los usuarios identificar los mensajes de correo electrónico malintencionados y dejar la ciberseguridad en manos de la interceptación humana aumenta el riesgo de fracaso. Las amenazas internas constituyen un importante problema de ciberseguridad, y los mensajes de correo electrónico de phishing son un vector primario para obtener acceso a un entorno. La prevención de un ataque de phishing con éxito implica la formación de los empleados, la ciberseguridad del correo electrónico y los controles de acceso para limitar los daños.

Los filtros de correo electrónico impiden que los mensajes de phishing lleguen al destinatario. En lugar de depender de la intervención humana, los filtros de correo electrónico bloquean los mensajes de correo electrónico potencialmente malintencionados. Los mensajes se ponen en cuarentena y un administrador puede revisarlos y determinar si se trata de phishing o de un falso positivo.

Los usuarios también pueden participar en una buena ciberseguridad del correo electrónico, pero deben ser formados para identificar los mensajes de phishing, cosa que puede hacerse a través de la capacitación para la concienciación sobre la seguridad. Pero, incluso con la mejor formación, un usuario que no preste atención a las señales podría resultar víctima, así que no es buena idea utilizar la capacitación como única defensa. Se debe formar a los usuarios para que se fijen en las direcciones de los remitentes y verifiquen la legitimidad de un mensaje de correo electrónico llamando al contacto o enviándole un correo electrónico directo para que lo verifique. Nunca haga clic en los enlaces incrustados en el correo electrónico. En su lugar, escriba el dominio en su navegador.

Si un usuario identifica un correo electrónico de phishing, debe enviar un mensaje a los administradores o a quien esté a cargo del correo electrónico para alertarles de la amenaza. Si la organización es el objetivo de los atacantes, más usuarios podrían recibir el mismo mensaje malintencionado. Los administradores conscientes del ataque pueden tomar las precauciones necesarias y enviar un mensaje de advertencia a todos los empleados de la organización.