(+34) 910 42 42 93 [email protected]

phishing cb

El pasado 8 de marzo, el CEO de Cyberbrainers, Pablo F. Iglesias, recibió un correo sospechoso de ser un posible ataque de phishing. En el presente artículo se explicarán los aspectos más relevantes del ataque y cómo se ha podido detectar a tiempo, eliminando así la capacidad de infección del ataque.

Hace unos días se publicó el siguiente artículo

en el que se exponía el funcionamiento de los ataques de phishing en profundidad, realizando un simulacro para conocer el nivel de concienciación de los trabajadores de Cyberbrainers. Se recomienda su lectura para conocer más en profundidad las bases del phishing.

Vector de ataque

En estos últimos años, la complejidad de los ataques ha ido aumentando de forma proporcional a la mejora tecnológica de las defensas que pueden ser implementadas por las empresas para proteger sus activos de información. Por ello, el vector de ataque en este caso en específico es el envío de correos maliciosos. Cabe recordar que el phishing no se realiza únicamente por correo electrónico, también existe el smishing (envío de mensajes SMS maliciosos) o vishing (suplantar a una entidad por llamada telefónica), entre otras variantes. La ingeniería social es un vector de ataque que ofrece numerosas modificaciones, al ser ataques relativamente simples con los que se busca obtener información personal de la víctima (en el caso de un particular) o acceso no autorizado (en el caso de una empresa). Este tipo de ataques son muy populares ya que buscan explotar el factor humano al ser el más fácil de vulnerar, además de la facilidad para llevarlos a cabo.

El correo que recibió Pablo Iglesias fue el siguiente.

Correo completo de phishing con malware adjunto detectado por la suite de Google
Figura 1. Correo malicioso de phishing recibido por Pablo Iglesias.

Como se puede apreciar, la empresa Imer Ibérica se pone en contacto con el CEO de Cyberbrainers para solicitarle el pago de una factura pendiente. Cabe destacar que ni Pablo Iglesias ni Cyberbrainers han trabajado con dicha empresa en ningún momento, esto es sospechoso e indicativo de que puede tratarse de un intento de fraude.

Detección del ataque de phishing

Si visualizamos la parte superior de la imagen, al emplear un servidor GSuite, Google nos ofrece recomendaciones sobre los correos electrónicos que recibimos, el mensaje (cuyo fondo es gris), es el siguiente.

Advertencia ofrecida por la suite de Google de posible estafa en ataques de phishing.
Figura 2. Mensaje de Google sobre posibles correos maliciosos.

Como vemos, Gmail nos indica que no han podido verificar que el correo proviene realmente de la empresa legítima, es decir, se ha podido suplantar la identidad de la misma para poder realizar este tipo de ataques. Como vemos, si no tuviesemos las ayudas/recomendaciones de Google, podría ser un correo totalmente normal de la empresa Imer Ibérica, por ello hay que tener especial cuidado y seguir las recomendaciones que ofrece la Suite de Google en materia de seguridad.

En el propio correo se adjunta una supuesta factura, en este caso es un fichero comprimido en formato .gz, un usuario podría descargar dicho fichero para conocer la situación relativa al mensaje recibido y buscar una posible solución sobre la solicitud del pago de la factura. El fichero adjunto se trata de un malware, en el caso de que un usuario lo descargase su equipo se infectaría. Dicho malware puede ser de diferente tipo, un ransomware que busque cifrar la información y los archivos de la víctima para solicitar posteriormente el pago de un rescate, un spyware que espíe las comunicaciones de la victima o utilice su webcam sin autorización para obtener imagenes sensibles, un simple troyano que infecte el equipo y este forme parte de una botnet (red de equipos infectados que pueden ser controlados remotamente por un ciberdelincuente para realizar ataques de diferente índole, como por ejemplo un ataque de denegación de servicio distribuido, DDoS) dirigida por el atacante, entre otros tipos de malware diferentes.

Sin embargo, Google nuevamente ofrece una alerta en la que se indica que dicho fichero se trata de un software malicioso. Esto se debe a que el Gmail de Google analiza todos los correos que recibes y analiza los archivos adjuntos con un antivirus que implementa la herramienta para poder garantizar la seguridad del usuario. En este caso, el antivirus ha detectado el malware e inmediatamente Google bloquea la descarga del archivo para evitar que pueda ser descargado ignorando la advertencia.

Recomendaciones

Tras analizar todos los aspectos que nos permiten detectar un caso de real de phishing, Pablo Iglesias se puso en contacto con la empresa Imer Ibérica para informarles de que habían suplantado su identidad por correo electrónico, desgracidamente, nunca se recibió respuesta. Esto podría deberse a que o bien la empresa accede con muy baja frecuencia al correo electrónico o que los ciberdelincuentes tienen el control del servidor de correo electrónico. La segunda opción es más comprensible ya que los atacantes pueden borrar correos que informen a la empresa de que está siendo suplantada por un tercero, eliminando así la posibilidad de que la dirección de la compañía pueda conocer esta información.

Desde Cyberbrainers recomendamos migrar a servicios en la nube como GSuite, Office 365 u otros en los procesos de transformación digital de nuestros clientes. El motivo se debe a que ofrecen una mayor capa de seguridad como se ha podido apreciar en el artículo, indicando si un correo es potencialmente peligroso y bloqueando cualquier malware que pretenda infectar los equipos de la empresa. Una migración a la nube permite minimizar la probabilidad de materialización de este tipo de ataques sobretodo en departamentos poco técnicos de la empresa, que generalmente poseen menos conocimientos y concienciación sobre este tipo de ataques. Al recibir avisos y alertas de que un correo puede ser un intento de fraude, se evita que puedan comprometer la seguridad de la empresa facilitando sus datos de accesos a un tercero.

Si quieres obtener más información sobre ataques de phishing más dirigidos, es decir, que cuentan con un alto nivel de personalización para lograr convencer a la víctima de que es un correo legítimo, puedes leer el siguiente artículo.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

César Collado
César Collado

Ingeniero técnico de telecomunicaciones y estudiante de máster en ciberseguridad, motivado por conocer las nuevas tecnologías y las vulnerabilidades que estas poseen. Disfruto realizando competiciones CTF en las que poner a prueba mis conocimientos en seguridad ofensiva.


Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.
Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.