El panorama y tipos de ataques actuales del correo electrónico

El panorama actual del correo electrónico y la suplantación de identidad

Los riesgos presentados por el correo electrónico son numerosos. Según el Informe de investigaciones sobre la infiltración de datos de 2018 de Verizon, del que Cisco es un colaborador, el correo electrónico es el principal vector para la distribución de malware (92,4 %) y la suplantación de identidad (96 %). Abra el correo electrónico incorrecto y podría verse víctima de criptominería, podrían robar sus credenciales o, si es víctima de una estafa de ingeniería social, podrían robarle grandes sumas de dinero. Escale esto a nivel de la empresa y el correo electrónico equivocado puede causar estragos.

¿Con qué frecuencia los usuarios son víctimas de estafas por correo electrónico? Pregúnteles a las personas de Duo Security. El equipo creó la herramienta Duo Insight gratuita hace unos años, lo que permite a los usuarios crear sus propias campañas falsas de suplantación de identidad y probarlas dentro de sus propias organizaciones para ver quiénes caen y quiénes no. 

Desafortunadamente, muchas personas caen en la trampa. Según el Informe de acceso confiable de Duo 2018, el 62 % de las campañas de simulación de suplantación de identidad que se ejecutaron, capturaron al menos un conjunto de credenciales de usuario. De todos los destinatarios, casi un cuarto de ellos hizo clic en el enlace de suplantación de identidad en el correo electrónico. Y la mitad de ellos ingresó las credenciales en el sitio web falso.

Con este nivel de éxito, no es de extrañar que el correo electrónico sea una opción tan popular para lanzar campañas de suplantación de identidad. De hecho, parece que la actividad de suplantación de identidad podría ir en aumento, si la cantidad de nuevos dominios de suplantación de identidad identificados por Cisco Umbrella es una indicación válida. Tomamos un promedio semanal para el primer trimestre de 2019, y luego comparamos cada semana con este promedio. Los resultados de la Figura 1 muestran que, si bien el año comenzó lentamente, se aceleró la producción de nuevos dominios, lo que vio un aumento del 64 % de la primera semana del trimestre a la última.

Nuevos dominios semanales de suplantación de identidad en comparación con el promedio semanal del primer trimestre

Nuevos dominios semanales de suplantación de identidad en comparación con el promedio semanal del primer trimestre

Tipos de ataques de correo electrónico comunes

Los siguientes son ejemplos de las estafas basadas en correo electrónico más comunes de la actualidad. Tome su computadora portátil, abra su bandeja de entrada e imagine los siguientes mensajes no leídos.

Suplantación de identidad de Office 365

El correo electrónico parece provenir de Microsoft. Dice que su dirección de correo electrónico de Office 365 se desconectará debido a errores o violaciones de políticas. La única manera de evitar que esto suceda es verificando la dirección en el enlace proporcionado.

Este es un intento de suplantar la identidad de sus credenciales de Office 365. Los correos electrónicos y las URL utilizados pueden incluso parecerse a lo que está acostumbrado a encontrar en Office 365, por ejemplo: [email protected]. Si hace clic en el enlace, lo llevará a una página de inicio de sesión de aspecto oficial y solicitará su dirección de correo electrónico y contraseña.

Sin embargo, el sitio es falso. Una vez que los estafadores tienen sus credenciales, pueden intentar iniciar sesión en otros servicios relacionados con Microsoft, así como también recopilar sus contactos. Una técnica común es iniciar sesión en su cuenta de correo electrónico y enviar a sus contactos un correo electrónico informal (por ej., Asunto: Para su información) que incluya otra URL de suplantación de identidad. 

Este estilo de tipos de ataques va en aumento. Según los datos publicados por nuestros partners en Agari en el informe de Tendencias de fraude y suplantación de identidad de correo electrónico del segundo trimestre de 2019, el 27 % de los ataques de correo electrónico avanzado se lanzan a partir de cuentas de correo electrónico en riesgo. Esto ha aumentado siete puntos porcentuales desde el último trimestre de 2018, cuando el 20 % de los ataques de suplantación de identidad procedían de correos electrónicos en riesgo.

Tampoco es solo Office 365 la que está siendo atacada. Se han observado este tipos de ataques de suplantación de identidad similares contra otros servicios de correo electrónico basados en la nube , como Gmail y G Suite, la oferta de correo electrónico en la nube de Google. Dada la prevalencia de las cuentas de Google y la forma en que se aprovechan a través de Internet para iniciar sesión en diferentes sitios web, no es de extrañar que los atacantes hayan creado sitios de suplantación de identidad en esta área también.

Sitio de suplantación de identidad diseñado deliberadamente para que se parezca a la página de inicio de sesión de Microsoft.

Riesgo de correo electrónico comercial

Es la semana de la gran cumbre de la empresa y todo el mundo está fuera de la oficina, excepto por un puñado de personas que mantienen funciones críticas. Usted es miembro del equipo de finanzas y parte del personal mínimo que aún está en el sitio. De repente, llega un correo electrónico a su bandeja de entrada que parece provenir del CFO con el asunto «Pago omitido». El correo electrónico explica que se perdió un pago que se suponía debía emitirse la semana pasada y que podría provocar una interrupción en la cadena de abastecimiento de la empresa. Se adjuntan las instrucciones de transferencia bancaria. El remitente termina diciendo que lo llamará en una hora con respecto a esto.

Ejemplo de inicio de sesión de cuenta de
Google. ¿Puede distinguir lo real de lo falso?

Este es esencialmente el riesgo de correo electrónico comercial (BEC). Las estafas de BEC son una forma de fraude por correo electrónico en la que el atacante se hace pasar por un ejecutivo de nivel C o superior e intenta engañar al destinatario para que desempeñe su función comercial, para un propósito ilegítimo, como la transferencia de dinero al atacante. De hecho, a veces llegan a llamar a la persona y se hacen pasar por el ejecutivo. Y parece funcionar. Según el Centro de quejas de delitos de Internet (IC3), había 1300 millones de dólares en pérdidas en 2018 debido a estafas de BEC.

Uno podría pensar que los atacantes aprovechan cuentas comprometidas en estafas de BEC, como lo hacen con las estafas de suplantación de identidad de Office 365. Sorprendentemente, según el informe de Tendencias de fraude y suplantación de identidad por correo electrónico de Agari del segundo trimestre de 2019, sólo el cinco por ciento de estas estafas lo hace. Dos tercios de estos tipos de ataques aún utilizan cuentas de correo electrónico gratuitas para lanzar los ataques, mientras que el 28 % restante lleva a cabo este tipos de ataques a medida mediante dominios registrados. El último nivel de personalización se extiende al cuerpo del correo electrónico, donde, según Agari, uno de cada cinco correos electrónicos de BEC incluye el nombre del destinatario seleccionado.

Punto de origen de correo electrónico BEC

Extorsión digital

Llega un correo electrónico a su bandeja de entrada con el asunto «DEBE TOMAR ESTO MUY SERIAMENTE». El o la remitente del correo electrónico afirma haber puesto en riesgo un sitio web de videos para adultos y que usted visitó el sitio. También afirma haberlo grabado a través de su cámara web, viendo los videos que afirma que usted reprodujo. Asimismo, el remitente afirma haber obtenido acceso a sus contactos y les enviará a todos la grabación, a menos que les pague cientos, si no miles, de dólares en bitcoins.

Esto es extorsión digital Lo único que distingue esta situación de las extorsiones más tradicionales es que las afirmaciones son completamente inventadas. Los estafadores no han puesto en riesgo ningún sitio web, no lo han grabado y no tienen su lista de contactos. Simplemente esperan engañarlo para que crea que es así. 

Abarcamos las diferentes formas de este tipo de estafa por correo electrónico en nuestra publicación de blog Amenaza del mes, titulada Su dinero o su vida: estafas de extorsión digital.

Un ejemplo reciente de extorsión digital

Es un truco interesante y lucrativo para los atacantes, y las ganancias obtenidas de una campaña de extorsión digital alcanzaron las seis cifras a fines de 2018. Sin embargo, según el análisis más reciente realizado por Cisco Talos, que abarca de enero a marzo de 2019, las ganancias han disminuido. Aun así, el aumento y la disminución de estas ganancias está vinculado con el valor de Bitcoin, aunque las disminuciones son mayores. Como el valor de Bitcoin parece ir en aumento en la actualidad, será interesante ver si sucede lo mismo con los pagos por extorsión digital.

Comparación del valor de Bitcoin (USD) con la toma de campañas de extorsión sexual

Paquete y correo electrónico no deseado de facturación

«No recuerdo haber adquirido una suscripción a esta aplicación móvil», usted se dice a sí mismo. Al menos, esto es lo que implica el correo electrónico: una suscripción de por vida a, por ejemplo, un club de películas. Espere, la ubicación que aparece en la factura indica que se adquirió en Sri Lanka. Y usted ni siquiera vive en Sri Lanka. «Debe haber algún error», se dice a usted mismo,a medida que abre rápidamente el PDF adjunto para investigar.

7 Correo electrónico de estafa de Emotet, que finge provenir de UPS

Desafortunadamente, ese PDF contenía uno de los tipos de ataques que acabó por descargar Emotet en su dispositivo. La estafa varía, pero, generalmente, se centra en un paquete que usted no ordenó, una factura por algo que no adquirió o un pago mensual por una suscripción o un servicio en el que no se inscribió. Esto puede generar resultados maliciosos, desde credenciales bancarias robadas hasta criptominería.

Fraude de tarifa por adelantado

No todos los días recibe un correo electrónico del FBI. ¡Es aún menos común recibir uno que le informa acerca de una transferencia pendiente de 10,5 millones de dólares! Solo debe responder al correo electrónico y le indicarán lo que debe hacer para recibir el pago.

Ejemplo de fraude de tarifa por adelantado reciente

Esta es una estafa clásica de fraude de tarifa por adelantado. Como su nombre lo indica, los estafadores pedirán una suma antes de enviarle el dinero prometido, el cual nunca aparece. Es también una de las estafas de correo electrónico más antiguas y ha adoptado diferentes formas a lo largo de los años, desde un príncipe extranjero que desea compartir su riqueza hasta aprobaciones de préstamos para personas con malos antecedentes de crédito. Aun así, las estafas continúan, y cada año, miles de estas estafas por correo electrónico se informan a la Better Business Bureau (BBB) de los EE. UU.

Estafas de fraude de tarifa por adelantado según lo informado al BBB por año. (Categorías de tipo de estafa por préstamo total de tarifa por adelantado, intercambio de dinero nigeriano/ extranjero, romance, reparación de crédito/reducción de la deuda, inversión y viajes/vacaciones)

El panorama y tipos de ataques actuales del correo electrónico
Autor: Cisco Systems, Inc
Fragmento de Serie de Ciberseguridad de Cisco 2019 – Seguridad del Correo Electrónicos