Un estudio de Trend Micro muestra que el 91% de los ataques dirigidos comienza con un correo electrónico de spear phishing. Se trata de una modalidad de phishing cada vez más común que hace uso de la información sobre un objetivo para llevar a cabo ataques más específicos y “personalizados”. Estos ataques pueden referirse o dirigirse a sus objetivos por su nombre específico, rango o posición, por ejemplo, en lugar de utilizar títulos genéricos en el asunto del email como ocurre en las campañas de phishing más amplias. El objetivo final es engañar a la víctima para que abra el archivo adjunto malicioso o haga clic en un enlace de malware o un site con exploits, iniciando así el compromiso dentro de la red de la víctima.
Según el informe, “Spear Phishing Email: Most Favored APT Attack Bait”, el 94% de los correos electrónicos dirigidos utiliza archivos maliciosos adjuntos como carga o fuente de infección. El 6% restante emplea métodos alternativos tales como la instalación de malware a través de links maliciosos.
“Prevemos un resurgimiento del correo electrónico malicioso a medida que los ataques se expanden y evolucionan”, indica Rik Ferguson, director de Investigación de Seguridad y Comunicaciones de Trend Micro. “La experiencia nos ha demostrado que los criminales continúan abusando de métodos probados y de confianza para aprovechar directamente la inteligencia obtenida durante el reconocimiento para los ataques dirigidos. También hemos visto que los ataques dirigidos están evolucionando y expandiéndose. La abundancia de información sobre las personas y las empresas hace demasiado simple el trabajo de creación de emails extremadamente creíbles. Se trata de una parte de la defensa personalizada que no debe ser ignorada”.
Las principales conclusiones de la investigación son:
Los tipos de archivos más compartidos y utilizados representaron el 70% de la cifra total de los emails con adjuntos de spear phishing durante el período de tiempo monitorizado. Los principales tipos de archivo son: .RTF (38 por ciento), .XLS (15 por ciento), y .ZIP (13 por ciento). En cambio, los archivos ejecutables (. EXE) no eran tan populares entre los cibercriminales, probablemente debido a que los correos electrónicos con adjuntos.Exe suelen ser detectados y bloqueados por las soluciones de seguridad.
Los sectores que se configuran como principal objetivo son gobiernos y grupos activistas. En Internet se puede encontrar fácilmente amplia información sobre organismos gubernamentales y nombramientos oficiales y, a menudo, es comunicada en la propia página web de los gobiernos. Por su parte, los grupos activistas, muy activos en las redes sociales, también son rápidos en proporcionar información de sus miembros con el fin de facilitar la comunicación, organizar las campañas o reclutar nuevos socios. Estos hábitos promocionan los perfiles de los miembros, lo que los convierte en blancos visibles.
Como resultado, tres de cada cuatro direcciones de correo electrónico de las víctimas objetivo se pueden encontrar fácilmente a través de búsquedas en la web o utilizando formatos comunes de dirección de email.
