Las campañas de phishing se volvieron mucho más siniestras en 2024

La creciente variedad de amenazas dirigidas a personas y empresas.

El phishing es una de las amenazas más frecuentes y dañinas, y representa casi Un tercio de todos los ciberataques El año pasado, en la segunda mitad de 2024, los ataques de phishing aumentaron 202% Los usuarios reciben al menos un mensaje de phishing avanzado capaz de evadir las defensas de seguridad por semana. A continuación, se muestran algunos ejemplos notables de 2024 que ilustran cómo las amenazas de phishing han crecido y evolucionado en complejidad. Las organizaciones deben examinar de cerca estos ejemplos para preparar sus defensas para 2025.

1. Ofuscación acelerada de páginas móviles utilizada para el phishing

Google desarrolló originalmente URL de AMP para mejorar la experiencia del usuario y el rendimiento de las páginas web con mucho contenido. Los actores de amenazas ahora están explotando Esta función permite enmascarar URL maliciosas y evadir las defensas de seguridad del correo electrónico. Al emplear dominios legítimos y agregar varias capas de redireccionamientos en estas URL, los atacantes pueden ocultar el verdadero destino de las URL y pasar desapercibidos ante los escáneres de URL, ya que estas herramientas de seguridad solo están diseñadas para verificar la reputación de los dominios visibles. Los atacantes saben que los usuarios tienden a pasar el cursor sobre los enlaces URL antes de hacer clic en ellos y, por lo tanto, este método de ofuscación los ayuda a engañar al usuario para que piense que está haciendo clic en una URL de un dominio confiable.

2. YouTubers son blanco de ataques de phishing

Mayoría Los ciberataques tienen motivaciones económicas, por lo que no sorprende que los cibercriminales tengan como blanco a influencers adinerados de YouTube. Según un informe de NubeSEK Los actores de amenazas se ponen en contacto con YouTubers con el pretexto de solicitar promociones de marca o acuerdos de colaboración. Se hacen pasar por marcas de confianza y envían archivos con malware disfrazados de contratos o material promocional, que se alojan en plataformas en la nube como OneDrive. Cuando se descargan y abren estos archivos adjuntos maliciosos en la máquina de la víctima, el malware se instala y roba datos confidenciales, como información financiera, propiedad intelectual y credenciales de inicio de sesión.

3. Los estafadores aumentan los ataques BEC contra los minoristas

Algunas fuentes afirman 3.4 mil millones Los correos electrónicos de phishing se envían a diario. Los ataques de vulneración de correo electrónico empresarial (BEC) cuestan a las empresas casi 5 millones de dólares al año. incidente En uno de esos incidentes, el Pepco La unidad de negocios húngara del grupo fue el objetivo de una campaña BEC en la que los atacantes se hicieron pasar por un alto ejecutivo falsificando su dirección de correo electrónico. El correo electrónico contenía un lenguaje convincente que incitaba al destinatario a transferir 15,5 millones de euros sin verificar la autoridad del remitente. Aunque los ataques BEC pueden afectar a cualquier empresa, independientemente de su tamaño, ingresos o sector, estudios Los estudios demuestran que las organizaciones con mayores ingresos corren un mayor riesgo de sufrir ataques BEC que las empresas con menores ingresos. La prevalencia de ataques BEC es la más alta en el comercio minorista.

4. Las estafas en obituarios con inteligencia artificial están en aumento

Investigadores en Trabajos seguros se topó con una estafa de ingeniería social que tiene como objetivo a personas que buscan información sobre personas fallecidas recientemente. La estafa consiste en publicar obituarios falsos en sitios web fraudulentos y utilizar técnicas de envenenamiento de SEO para dirigir el tráfico a estos sitios. Los atacantes utilizan tecnología de inteligencia artificial para fabricar un homenaje extenso a partir de datos extraídos de un homenaje más corto. El objetivo es redirigir a los usuarios a sitios maliciosos donde quedan expuestos a adware, robadores de información y otros programas maliciosos.

5. Archivos adjuntos pirateados en hilos de correo electrónico de facturas

Investigadores en IBM Se ha detectado un nuevo tipo de ataque de phishing que afecta a organizaciones financieras, tecnológicas, manufactureras, de medios de comunicación y de comercio electrónico en toda Europa. El ataque comienza con actores maliciosos que envían notificaciones de facturas reales que han sido robadas o pirateadas utilizando credenciales de correo electrónico comprometidas. Lo que diferencia a estos correos electrónicos del correo electrónico original es que contienen un archivo adjunto ZIP modificado que está protegido con contraseña para evitar el filtrado de correo electrónico y la inspección de la zona protegida. Los nombres de los archivos incluso están adaptados a la organización de destino para que parezcan más auténticos. Cuando un destinatario descomprime el archivo, un malware de robo de información (como StrelaStealer) infecta la máquina de la víctima y roba las credenciales de correo electrónico almacenadas en MS Outlook o Mozilla Thunderbird.

Puntos clave

Ninguna herramienta en el mundo puede proporcionar una protección infalible contra el phishing. Para mitigarlo, las organizaciones deben centrarse en los aspectos básicos de la seguridad:

1. Construya una fuerza laboral consciente de la seguridad: a través de capacitación regular, ejercicios de concientización y pruebas de simulación de phishing, cree una fuerza laboral que sea responsable y vigilante sobre la ciberseguridad.

2. Actualice el software periódicamente: asegúrese de que los sistemas, el hardware, las aplicaciones y el software estén actualizados para evitar que los atacantes exploten vulnerabilidades nuevas o existentes.

3. Adopte una mentalidad de confianza cero: implemente herramientas y procesos de confianza cero (nunca confiar, siempre verificar) que se centren en verificar la identidad del usuario antes de otorgar acceso a los recursos o datos de la empresa.
   
4. Empoderar al personal: proporcionar herramientas de seguridad como administradores de contraseñas a los empleados para que no sean víctimas de amenazas como la reutilización de contraseñas. Facilitar al personal la comunicación con el equipo de seguridad y denunciar mensajes de phishing. Establecer y comunicar políticas de seguridad claras y transparentes, lo que se debe y no se debe hacer, etc.

5. Implemente una seguridad de correo electrónico sólida: emplee filtros de correo electrónico avanzados (preferiblemente basados en IA) que puedan detectar patrones sospechosos, como direcciones de remitentes inusuales, URL y dominios maliciosos.

Las técnicas de phishing descritas anteriormente ponen de relieve la creciente sofisticación y variedad de amenazas dirigidas a personas y organizaciones. Estos nuevos métodos demuestran la necesidad de una mayor vigilancia y de medidas de seguridad proactivas. La creación de una fuerza laboral consciente de la seguridad, la dotación de herramientas, la adopción de la confianza cero, la actualización periódica del software y la implementación de una seguridad de correo electrónico sólida pueden proporcionar defensas fundamentales contra futuras oleadas de ataques de phishing.