Sesgo de verdad y Spear Phishing


Uno de los ciberataques más prolíficos en los últimos tiempos es el spear phishing, un subtipo de phishing que va dirigido principalmente contra altos directivos de empresas con la intención de obtener mayores beneficios en comparación a las masivas campañas de phishing tradicional.

Este tipo de phishing es más complejo y requiere una mayor planificación, pues es necesario obtener mucha información de la víctima y de los procesos de su empresa para que el engaño sea exitoso. Para ello, lo primero es seleccionar el objetivo, generalmente altos ejecutivos que disponen de información valiosa o que tienen privilegios para realizar importantes transacciones bancarias.

En un ataque de spear phishing, a veces se espía a la víctima durante semanas o meses. Durante este período, se aprenden hábitos y preferencias, se analizan sus correos electrónicos para saber con quién se comunica la víctima elegida, así como el tipo de conversaciones que tiene.

Además de información sobre la víctima, se aprende también sobre el funcionamiento de su empresa, sus procesos de gestión, la terminología propia que suelen utilizar, el organigrama y cómo toman decisiones.

Tras este tiempo de análisis, se tiene un dossier personal completo sobre la víctima y la empresa que permitirá posteriormente crear el anzuelo más real posible para persuadir a la víctima.

Cuando llega el momento oportuno, los ciberdelincuentes se hacen pasar por consumidores on-line, instituciones bancarias, familiares, colegas, partners e incluso superiores. La mayoría de los correos electrónicos están diseñados de tal manera que incluso la dirección y el contenido del remitente parecen, a primera vista, completamente reales.

Por ejemplo, pueden incluir información relevante para los intereses personales o comerciales del destinatario para aumentar la probabilidad de que el destinatario responda.

A veces se aprovechan de situaciones extraordinarias o coyunturales como las vacaciones de un superior, un nuevo contrato con un proveedor o cliente… de tal forma que la víctima debe tomar la decisión de enviar información o dinero, que es el objetivo final del ataque de spear phishing.

spear-phishing-01

A pesar de la complejidad que supone este tipo de ataques, en cuanto a la preparación del anzuelo y el tiempo de planificación, el spear phishing ataca al eslabón más frágil de la ciberseguridad, el ser humano, lo que simplifica los requerimientos técnicos necesarios en comparación a cuando el objetivo es penetrar a un sistema.  Es decir, engañar a una persona es más fácil (y rápido) que engañar a un sistema.

El correo electrónico, la clave en los ataques de spear phishing

La credibilidad del correo electrónico, que es el elemento fundamental del phishing para que tenga éxito, es una de las ventajas del spear phishing basada principalmente en esa preparación específica previa y análisis de la víctima que permite desplegar un ataque muy preparado. Los elementos del correo electrónico que se deben controlar son:

  • Dirección de origen: El origen del correo está falsificado, siendo siempre alguien relacionado con la organización o algún conocido, por ejemplo, un proveedor, el contable de algún cliente o el compañero de otra sucursal. La dirección de correo suele estar hackeada o es muy parecida de tal forma que no levanta la sospecha del remitente.
  • Asunto del mensaje: Los asuntos suelen ser siempre atractivos, intentando llamar la atención del usuario y con un cierto sentido de novedad y urgencia. No obstante, usan también asuntos habituales que hacen que el remitente lo considere un mail real.
  • Contenido: Aquí es donde el ataque pone en marcha todo el análisis realizado durante semanas o meses sobre la víctima. Para que sea creíble, se usa terminología propia de la empresa, se hace referencia a procesos internos, se alude a personas o a información que solo podría tener alguien desde dentro de la organización. A veces se copia la misma forma de escribir del remitente, al igual que el pie de firma y la estructura que suele utilizar en sus mails.


A este contenido básico se le incluye aquello que el atacante quiere conseguir de la víctima: el envío de un documento, la realización de una transferencia bancaria, facilitar una determinada información…Es decir, unas cucharadas de realismo acompañadas de una pizca de ingeniería social para generar la persuasión que posibilite obtener lo que se quiere de la víctima.



Pero todo esto no funcionaría sin un último ingrediente, la confortable cotidianidad que tanto le gusta a nuestro cerebro. Imagina a ese alto ejecutivo abriendo su bandeja de entrada y empezando a descargar sus decenas de mails habituales y diarios.

Nuestras cabezas no tienen recursos cognitivos ilimitados, por lo que no es posible una evaluación sistemática de toda la información que nos llega, tampoco de la que nos llega a través de la red.

 

spear-phishing-02


¿Cómo podemos hacer frente entonces a la decisión de si lo que nos está llegando es verdadero o un ataque de phishing?  

Nuestro cerebro tiene una solución para ello, funcionar mediante sesgos, es decir mediante atajos mentales que nos permitan tomar decisiones en condiciones de rapidez y sin mucho análisis.

En este caso funcionamos por lo que se denomina sesgo de verdadque no es ni más ni menos que la tendencia a considerar como verdadera la información que se parece mucho a la que hemos comprobado anteriormente que es verdadera. Dicho de otra manera, los mails que recibe este alto ejecutivo nunca suelen ser falsos, por lo que va a considerar que los que le llegan hoy tampoco lo son.

Y es que, las personas, a pesar de los que nos dicen las series de televisión, somos realmente torpes para detectar la mentira y tendemos a creer a los demás con más frecuencia de la que deberíamos. Esto explica, evidentemente, la existencia del fraude como uno de los delitos más prolíficos.

En el mundo analógico, las personas podemos recurrir a ciertos indicadores que nos hagan pensar que la persona nos puede estar mintiendo. Así, podemos analizar si lo que dice nos resulta creíble, pero además, si lo que dice se acompaña también de un comportamiento no verbal creíble.

Algunas expresiones de la cara, determinados gestos o posturas pueden hacernos pensar que la persona nos está mintiendo (aunque, como decimos, somos torpes para detectar la mentira y esos indicadores no verbales no funcionan como nos lo venden en las series de televisión).

Pero en el mundo digital no contamos con estos indicadores añadidos. Tenemos un texto o una imagen que es una copia perfecta de la original, unas palabras o términos que corresponden con lo que nosotros esperamos, por lo que nos resulta muy difícil distinguir la verdad de la mentira.

Y este es el gran problema de internet, poder diferenciar la copia del original, lo verdadero de lo falso.

buguroo te ofrece la posibilidad de comunicar, de forma gratuita, cualquier caso de phishing que hayas detectado a través de nuestro centro de recursos contra delitos de phishing, que en en este momento está en plena lucha contra fraudsters que están aprovechando el contexto del Covid-19 para cometer sus ataques.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo