Cómo los ataques de phishing se adaptan rápidamente para aprovechar eventos actuales

XPoint
Publicado el 12/08/2024

En 2023, no menos del 94% de las empresas se vieron afectadas por ataques de phishing, un aumento del 40% en comparación con el año anterior, según una investigación de Egress.

¿Qué está detrás del aumento en los ataques de phishing? Una respuesta popular es la inteligencia artificial (IA), en particular la IA generativa, que ha facilitado enormemente a los actores maliciosos la creación de contenido para usar en campañas de phishing, como correos electrónicos maliciosos y, en casos más sofisticados, videos deepfake. Además, la IA puede ayudar a escribir el malware que los actores de amenazas a menudo plantan en las computadoras y servidores de sus víctimas como parte de campañas de phishing.

El Phishing como Servicio, o PhaaS, es otro desarrollo que a veces se cita para explicar por qué las amenazas de phishing están en su punto más alto. Al permitir que las partes malintencionadas contraten atacantes expertos para llevar a cabo campañas de phishing, PhaaS facilita que cualquiera con un rencor, o un deseo de exfiltrar dinero de víctimas desprevenidas, lance ataques de phishing.

El phishing se ha vuelto ágil Para comprender verdaderamente qué está detrás del aumento en el phishing, se requiere un análisis de cómo los actores de amenazas están utilizando la IA y PhaaS para operar de nuevas formas, específicamente, respondiendo más rápidamente a los eventos cambiantes.

En el pasado, el tiempo y el esfuerzo necesarios para crear contenido de phishing manualmente (en lugar de usar IA generativa) dificultaban a los actores de amenazas aprovechar eventos inesperados para lanzar campañas de alto impacto. Del mismo modo, sin soluciones PhaaS, los grupos que querían atacar a una organización con phishing a menudo no tenían una forma rápida y sencilla de iniciar un ataque. Sin embargo, los desarrollos recientes sugieren que esto está cambiando.

Ataques de phishing dirigidos a eventos en evolución El phishing tiene la costumbre de aferrarse a los eventos actuales en el mundo para aprovechar la emoción o el miedo que rodea a estos eventos. Esto es especialmente cierto cuando se trata de eventos en evolución, como el «Pantallazo Azul de la Muerte» (BSOD) de CrowdStrike.

Phishing tras el BSOD de CrowdStrike CrowdStrike, el proveedor de ciberseguridad, emitió una actualización defectuosa el 19 de julio que hizo que las máquinas con Windows no pudieran arrancar correctamente y dejaran a los usuarios mirando la infame Pantalla Azul de la Muerte (BSOD).

CrowdStrike solucionó el problema relativamente rápido, pero no antes de que los actores de amenazas comenzaran a lanzar campañas de phishing diseñadas para aprovecharse de personas y empresas que buscaban una solución al fallo. Dentro del primer día después del incidente de CrowdStrike, Cyberint detectó 17 dominios de tipo-squatting relacionados con el mismo. Al menos dos de estos dominios copiaban y compartían la solución de CrowdStrike en un aparente esfuerzo por solicitar donaciones a través de PayPal. Siguiendo las pistas, Cyberint rastreó la página de donaciones hasta un ingeniero de software llamado Aliaksandr Skuratovich, quien también publicó el sitio web en su página de LinkedIn.

Esfuerzos de phishing para beneficiarse de la recolección de donaciones para una solución que se originó en otro lugar Fueron uno de los esfuerzos más leves para aprovecharse del incidente de CrowdStrike. Otros dominios con errores tipográficos afirmaban ofrecer una solución (que estaba disponible de forma gratuita en CrowdStrike) a cambio de pagos de hasta 1,000 euros. Los dominios fueron eliminados, pero no antes de que algunas organizaciones cayeran en la trampa. El análisis de Cyberint muestra que la billetera criptográfica vinculada al esquema recolectó alrededor de 10,000 euros.

Ataques de phishing en respuesta a eventos planificados Cuando se trata de eventos planificados, los ataques suelen ser más diversos y detallados. Los actores de amenazas tienen más tiempo para prepararse que en el caso de eventos inesperados como la falla de CrowdStrike.

Phishing en las Olimpiadas Los ataques de phishing relacionados con los Juegos Olímpicos de París 2024 también demostraron la capacidad de los actores maliciosos para ejecutar campañas más efectivas al vincularlas a eventos actuales.

Un ejemplo de este tipo de ataques es que Cyberint detectó correos electrónicos de phishing que afirmaban que los destinatarios habían ganado boletos para los Juegos y que, para recogerlos, debían hacer un pequeño pago para cubrir la tarifa de entrega.

Si los destinatarios ingresaban su información financiera para pagar la tarifa, sin embargo, los atacantes la usaban para hacerse pasar por las víctimas y realizar compras utilizando sus cuentas.

En otro ejemplo de phishing relacionado con las Olimpiadas, los actores de amenazas en marzo de 2024 registraron un sitio web de apariencia profesional que afirmaba ofrecer boletos a la venta. En realidad, era un fraude.

Phishing en el fútbol Ataques similares ocurrieron durante el campeonato de fútbol de la UEFA Euro 2024. Los actores de amenazas lanzaron aplicaciones móviles fraudulentas que imitaban a la UEFA, la asociación deportiva que organizó el evento. Dado que las aplicaciones usaban el nombre y el logotipo oficiales de la organización, era presumiblemente fácil para algunas personas asumir que eran legítimas.

Vale la pena señalar que estas aplicaciones no se alojaban en las tiendas de aplicaciones de Apple o Google, que generalmente detectan y eliminan aplicaciones maliciosas (aunque no hay garantía de que lo hagan lo suficientemente rápido como para evitar abusos). Estaban disponibles a través de tiendas de aplicaciones de terceros no reguladas, lo que las hacía algo más difíciles de encontrar para los consumidores, pero la mayoría de los dispositivos móviles no tendrían controles en su lugar para bloquear las aplicaciones si un usuario navegara a una tienda de aplicaciones de terceros y tratara de descargar software malicioso.

Phishing en eventos recurrentes En cuanto a eventos recurrentes, los phishers también saben cómo aprovecharse de las situaciones para lanzar ataques poderosos.

Por ejemplo, el fraude con tarjetas de regalo, las estafas de no pago y los recibos de pedidos falsos aumentan durante la temporada navideña. También lo hacen las estafas de phishing que intentan atraer a las víctimas a solicitar trabajos temporales falsos con el fin de recopilar su información personal.

Las festividades crean una tormenta perfecta para el phishing debido al aumento de las compras en línea, las ofertas atractivas y una avalancha de correos electrónicos promocionales. Los estafadores explotan estos factores, lo que provoca daños financieros y reputacionales significativos para las empresas.

Cuando se trata de phishing, el tiempo es crucial Desafortunadamente, la IA y PhaaS han facilitado el phishing, y debemos esperar que los actores de amenazas sigan adoptando este tipo de estrategias.

Sin embargo, las empresas pueden anticipar picos en los ataques en respuesta a desarrollos específicos o (en el caso de campañas de phishing recurrentes) en ciertas épocas del año y tomar medidas para mitigar el riesgo.

Por ejemplo, pueden educar a los empleados y consumidores para que sean más cautelosos al responder a contenido asociado con un evento actual.

Si bien la IA y PhaaS han facilitado el phishing, las empresas y los individuos aún pueden defenderse de estas amenazas. Al comprender las tácticas utilizadas por los actores de amenazas e implementar medidas de seguridad efectivas, se puede reducir el riesgo de ser víctima de ataques de phishing.

 


English

How Phishing Attacks Quickly Adapt to Take Advantage of Current Events

In 2023, a staggering 94% of businesses experienced phishing attacks, marking a 40% increase from the previous year, according to a study by Egress.

What’s driving the rise in phishing? A leading explanation is the role of AI, particularly generative AI, which has made it significantly easier for cybercriminals to create content for phishing campaigns, including malicious emails and, in more advanced scenarios, deepfake videos. Moreover, AI can also assist in developing malware that hackers deploy on victims’ computers and servers as part of phishing attacks.

Another factor contributing to the rise is Phishing as a Service (PhaaS), a model that allows bad actors to hire skilled attackers to conduct phishing campaigns on their behalf. PhaaS lowers the barrier to entry for anyone wanting to launch phishing attacks, whether out of revenge or a desire to steal money from unsuspecting victims.

Phishing Has Become Agile To truly understand the surge in phishing, it’s essential to analyze how threat actors are using AI and PhaaS to operate in new ways—particularly by responding more quickly to emerging events.

Previously, the time and effort required to manually create phishing content (as opposed to using generative AI) made it difficult for cybercriminals to exploit unforeseen events for high-impact campaigns. Similarly, without PhaaS solutions, groups targeting an organization often lacked a quick and easy way to initiate an attack. However, recent trends indicate that this is changing.

Phishing Attacks Targeting Current Events Phishing attacks often piggyback on current events, leveraging the excitement or fear surrounding these developments. This is especially true with rapidly evolving situations, such as the CrowdStrike «Blue Screen of Death» (BSOD).

Phishing in the Aftermath of the CrowdStrike BSOD On July 19, cybersecurity company CrowdStrike released a faulty update that left Windows machines unable to boot properly, causing users to encounter the infamous Blue Screen of Death (BSOD).

CrowdStrike swiftly resolved the issue, but not before cybercriminals began launching phishing campaigns aimed at exploiting individuals and businesses seeking a fix. Within the first day following the CrowdStrike incident, Cyberint detected 17 typo-squatting domains associated with it. At least two of these domains copied and shared CrowdStrike’s workaround, seemingly to solicit PayPal donations. Tracing the breadcrumbs, Cyberint linked the donation page to a software engineer named Aliaksandr Skuratovich, who also posted the website on his LinkedIn page.

Efforts to Profit from Collecting Donations for a Fix Originating Elsewhere These were among the more benign attempts to exploit the CrowdStrike incident. Other typo-squatted domains offered a fix (which CrowdStrike provided for free) in exchange for payments of up to 1,000 euros. These domains were eventually taken down, but not before some organizations fell victim to them. Cyberint’s analysis revealed that the crypto wallet connected to this scheme collected around 10,000 euros.

Phishing Attacks Responding to Planned Events When it comes to planned events, phishing attacks tend to be more varied and elaborate. Cybercriminals have more time to prepare than they do in the wake of unexpected events like the CrowdStrike outage.

Phishing at the Olympics Phishing attacks related to the 2024 Paris Olympics also highlighted cybercriminals’ ability to execute more effective campaigns by tying them to current events.

One example involved phishing emails detected by Cyberint that claimed recipients had won tickets to the Games. To receive the tickets, recipients were instructed to pay a small fee for delivery.

However, if recipients entered their financial details to pay the fee, the attackers used this information to impersonate the victims and make unauthorized purchases using their accounts.

In another case of Olympic-related phishing, cybercriminals registered a professional-looking website in March 2024 that purported to sell tickets. In reality, it was a scam.

Phishing and Football Similar attacks occurred during the UEFA Euro 2024 football championship. Notably, cybercriminals launched fraudulent mobile apps that impersonated UEFA, the organization responsible for the event. Because these apps used the official name and logo of the organization, it was likely easy for some people to assume they were legitimate.

It’s important to note that these apps were not hosted on the official Apple or Google app stores, which typically detect and remove malicious apps (though not always quickly enough to prevent abuse). Instead, they were available through unregulated third-party app stores, making them somewhat harder to find—but most mobile devices wouldn’t have safeguards in place to block the apps if a user tried to download them from a third-party store.

Phishing During Recurring Events Phishers are also adept at taking advantage of recurring events to launch powerful attacks.

For example, gift card fraud, non-payment scams, and fake order receipts spike during the holiday season, as do phishing scams that attempt to lure victims into applying for fake seasonal jobs to collect their personal information.

The holiday season creates the perfect conditions for phishing due to increased online shopping, enticing deals, and a flood of promotional emails. Scammers exploit these factors, leading to significant financial and reputational damage for businesses.

Timing Is Crucial in Phishing Unfortunately, AI and PhaaS have made phishing easier, and we should expect cybercriminals to continue adopting these strategies.

However, businesses can anticipate spikes in attacks in response to specific developments or (in the case of recurring phishing campaigns) particular times of the year and take measures to mitigate the risk.

For instance, they can educate employees and consumers to be extra vigilant when responding to content associated with current events.

While AI and PhaaS have made phishing easier, businesses and individuals can still defend against these threats. By understanding the tactics used by cybercriminals and implementing effective security measures, the risk of falling victim to phishing attacks can be reduced.

Preguntas frecuentes

¿Qué es el Phishing?

+

Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar.​​

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos