El correo electrónico o email desde su creación por allá de los años 70s del siglo pasado se ha colocado como la forma más efectiva de comunicación a nivel personal, y a nivel empresarial sigue siendo la herramienta número uno de transferencia de información; no existe un sustituto que haya logrado desbancarlo con excepción de las aplicaciones móviles que poco a poco tratan de desplazarlo utilizando nuevos formas de autenticación como el número del móvil, la tarjeta de banco o bien por biometría.
Sin embargo una gran cantidad de servicios en internet lo siguen utilizando como medio de autenticación o para confirmar una suscripción, de hecho organizaciones de gobierno o las bancarias aún solicitan tener un correo para enviar información relacionada con el servicio contratado.
Ante este escenario la industria de difusión de información comercial no solicitada conocida como SPAM a través de correo electrónico representa un negocio atractivo ya sea como generador de SPAM, proporcionando las herramientas para el envío o el negocio alrededor de las empresas que se ponen del lado de los buenos para ayudarles a contener este tipo de ataque tan común desde hace ya varias décadas
Para entender la importancia económica del SPAM es interesante conocer un poco de la historia del ruso Pavel Vrublevsky quien en la década inicial de este siglo logró por medio de su portal spamit.com(ya dado de baja) generar el 70% de spam a nivel mundial.
A través de su portal disponía de bases de datos de millones de correos los cuales eran utilizados por sus clientes para enviar propaganda, engaños para robar información, propagación de malware, entre otros; pero algo bastante curioso es que entre toda esa basura destacaba como negocio principal: la publicidad de productos farmacéuticos, esto representa un enorme negocio entre quienes ofrecen los productos y quienes lo consumen, en Estados Unidos los usuarios prefieren buscar páginas donde dejan sus correos para recibir ofertas de medicamentos a un 20% de su costo real, además del ahorro que representa comprar productos que no son de los grandes laboratorios es interesante analizar como muchas personas por alguna circunstancia prefieren comprar estos productos en sitios de dudosa reputación.
Hoy los ataques se han vuelto mucho más sofisticados y diversos objetivos hay detrás de un correo SPAM:
- Obtener credenciales de redes sociales
- Engañarnos acerca de un envío por mensajería
- Ofrecer un premio
- Reclamar un regalo
- Descargar un archivo que dice ser una factura, cheque o una carta importante
- Suplantar un sitio principalmente de bancos o accesos a correos
- Minado de monedas electrónicas por medio de archivos maliciosos descargados
- Creación de redes Zombies o BotNets, de igual forma con el envío de adjuntos maliciosos
- Entre muchas intenciones más
OpenPhish es un servicio para consultar páginas fraudulentas (fake), estos sitios normalmente son páginas falsas de redes sociales, ingreso a correo electrónico ya sea público o privado, replicas de portales empresariales y un gran etcétera que llegan a través de campañas de SPAM.
Todos los ataques van evolucionando y las soluciones ANTI-SPAM muchas veces no son suficientes, en mi tarea como consultor hemos puesto a pruebas varias soluciones de detección y filtrado de SPAM y varias de ellas siguen sin funcionar al 100%, los administradores de correo deben seguir atentos a las nuevas formas de ataque.
Spear Phishing o el ataque vector
Cuando una organización es el blanco al que han puesto sus intereses los ciberdelicuentes, estos realizan un estudio previo y detallado, investigando que servicio de correo usan, cuáles son los accesos que están expuestos en internet y que normalmente ingresan los usuarios de esta empresa objetivo utilizando como medio de autenticación un usuario y contraseña
Desde el lado del atacante existen herramientas bastante confiables para obtener correos electrónicos bajo un dominio empresarial y otras herramientas complementarias que permiten validar que los correos sean reales
Posteriormente envían un ataque a todos los correos validados tratando de que alguno de ellos caiga en el sitio falso, descargue un malware o cualquier otra acción que comprometa la información del usuario o de toda una empresa
Los atacantes son tan creativos que últimamente están realizando campañas de phishing creando todo un contenido en el cual se habla de la importancia de la seguridad y que se están realizando acciones de concienciación de seguridad y son tan buenos los contenidos que los usuarios son engañados y llevados a sitios donde dejan sus credenciales de acceso o descargan archivos maliciosos
Recomendaciones
Como usuario independiente o como integrante de una organización es de suma importancia estar alerta de posibles engaños que puedan poner en riesgo la información personal o te conviertas en el puente para que los ciberdelincuentes lleguen a su objetivo que es la empresa donde laboras, por ello comento algunas acciones preventivas que nos ayudarán como usuarios de internet a identificar y evadir ataques de phishing ya sea dirigidos o como parte de una gran campaña de SPAM
- No llames al SPAM. Evita darte de alta en todos los sitios que se te pongan de frente, sé selectivo de los lugares donde dejaras tu correo
- Revisa las reglas. Muchos sitios reales disponen de una declaración de uso de datos y donde claramente aceptas que tu correo sea compartido con terceros para el envío de información u ofertas de compra que tú no solicitaste
- Evita caer con los correos llamativos y tentadores. Nadie te va a enviar un correo donde te regalen dinero, autos, una computadora o cualquier otra cosa
- Si no lo esperas no lo abras. Si llega un correo posiblemente de alguien que conozcas, por ejemplo de un compañero de trabajo o inclusive de tu jefe y ves algo sospechoso en él, procura validar por otro medio que el correo es válido
- Descargar y comprometer. Desconfía casi de cualquier correo que llegue con un adjunto, siempre válida antes de descargar el archivo, descargar y ejecutar un adjunto puede ser el principio de una pesadilla
- No caigas en el viejo truco de cambiar tu contraseña. Nunca hagas caso de correos donde te piden que cambies tu contraseña haciendo clic en un enlace, estos correos son regularmente una estafa
- Sentido común. Usar el sentido común ante una situación de engaño siempre será tu mejor arma y más poderosa que cualquier software anti-malware
- Mantente informado. En www.ameci.org puedes encontrar en el blog de noticias información respecto a los diversos engaños y ataques que están ocurriendo en México y en el mundo