Concienciación de seguridad en los empleados: campañas de phishing

Nacho Brihuega    9 mayo, 2019
Concienciación de seguridad en los empleados: campañas de phishing

Una de las herramientas más utilizadas para comprobar la concienciación de los empleados de una compañía son las campañas de phishing. Como ya sabéis las campañas clásicas de phishing se basan en el envío masivo de emails a una muestra de posibles víctimas, en donde se invita al receptor a pulsar en el enlace que llevará a una web visualmente idéntica que pedirá las credenciales de acceso al usuario o cualquier otra información interesante.

En función de la orientación que se quiera aplicar al phishing, se puede clasificar en Spearphishing, que a diferencia del clásico, va dirigido a 10-15 víctimas concretas o VIP, para los cuáles se realiza un estudio previo para identificar posibles hobbies en busca de un gancho el cual pueda ser más receptiva para la víctima. Por ejemplo, si sabemos que un directivo es aficionado del Real Madrid de baloncesto, un posible cebo podría ser la invitación VIP a un partido de la Euroliga.

El objetivo de esta entrada es explicar un posible proceso que pueden seguir los phishers para realizar estas campañas con objeto de conocerlo, concienciarnos y saber cómo defendernos ante ellos. Ya sabéis, conoce a tu enemigo… A continuación, se explica un posible proceso para la búsqueda de correos de una compañía

Nuestros mejores amigos para estos casos son los buscadores que recopilan información indexada de cuentas de correo de las principales páginas o de redes sociales como Twitter o Linkedin.

Adicionalmente, existen varios servicios online que facilitan estas búsquedas como hunter.io:

Así como herramientas que automatizan este proceso. A continuación, se muestran algunas que podrían emplearse:

  • Infoga: obtención de cuentas de correo a través de buscadores.
  • Pyhunter: automatización del servicio de hunter.io a través de la API gratuita.

Al final requiere analizar la información obtenida con diferentes herramientas empleadas, descartando resultados duplicados y falsos positivos, para obtener una muestra de calidad.
Una vez obtenida la muestra, el siguiente paso es proponer diferentes propuestas para la campaña de phishing. El cebo o gancho en muchas ocasiones puede ser la diferencia del éxito de un phishing, es decir, viene a ser la diferencia de que el receptor le llame la atención y entre a mirarlo o, en cambio, que pasé de él e incluso lo elimine. Entre los cebos a utilizar suelen predominar:

  • Participación en sorteos.
  • Encuestas informativas.
  • Promociones o descuentos por traer a familiares o amigos.

A continuación, se selecciona el nombre del dominio de la página del phishing. En función de la complejidad, se pueden aplicar técnicas de typosquatingEl typosquating es la técnica que se basa en errores tipográficos que pueden darse al escribir un dominio, es decir, equivocarse al teclear por la cercanía de las teclas y poner “i” en lugar “de una “o”. También, se puede dar en la aparición de dos palabras repetidas (por ejemplo dos “i” sucesivas) o bien intercambiar caracteres que podrían ser parecidos como la sustitución de una “o” por un “0”. Directamente, para campañas de mayor complejidad se pueden crear dominios junto con un keyword del gancho de la campaña, por ejemplo: «clientedescuentos.com». Si se aplica esta última opción, se recomienda añadir primero el nombre del cliente, pues ya sabemos que muchas veces todos nos fijamos al comienzo del nombre del dominio sin leerlo entero.

Desde el equipo de hacking de ElevenPaths SSPP, realizamos estas campañas orientadas a concienciación para saber si los posibles empleados caen en las mismas. Para llevar a cabo la monitorización de la campaña, seleccionamos una solución Open Source, la cual hemos aplicado un desarrollo propio customizado para que se adapte a nuestras necesidades.  En la siguiente imagen, se puede identificar el dashboard de una campaña:

Donde:

  • Verde son los correos enviados.
  • Amarillo son los correos abiertos.
  • Naranja son los correos leídos.
  • Rojo son los empleados que han introducido sus credenciales (identificador de usuario).

Una vez finalizamos las campañas de concienciación, facilitamos los fallos voluntarios y los detalles que deberían haber identificados las víctimas para detectar que no es un correo legítimo, sino que se trata de una campaña de ingeniería social. Asimismo, se recomienda proponer a las víctimas de la campaña que participen en formaciones para consolidan estos conocimientos y no vuelvan a caer.

Existen diferentes frameworks Open Source que se pueden utilizar para esta función como Gophish Phishing-frenzy.

Finalmente, en los últimos meses muchos fabricantes están facilitando una serie de soluciones que “automatizan” las campañas de phishing.  Estas plataformas facilitan una interfaz web muy fácil de usar e intuitiva donde incluir el texto, el remitente del correo, entre otras cosas. Además, cuentan con plantillas predeterminadas de posibles phishing de Netflix, Amazon o Correos, por nombrar algunas de ellas.
Hemos tenido la ocasión de testear alguna de ellas y nos gustaría aportar nuestra humilde opinión. 

Ventajas:

  • No requieren de un perfil completamente técnico para gestionar la plataforma.
  • Fácil realización de campañas prediseñadas.
  • Automatización para enviar correos de formación a las víctimas.
  • Monitorización en vivo de la evolución de la campaña.

Desventajas:

  • Muchas de ellas emplean subdominios del dominio principal de la plataforma, lo que impide crear dominios propios con el nombre del cliente.
  • La mayoría no permiten insertar código HTML ni JavaScript, solamente el texto del correo, lo que impide crear desarrollos adhoc según las necesidades.
  • Problemas para emplear el SMTP de la plataforma. No posibilitan SMTP Relay.
  • En general no son personalizables.

¿Estas plataformas son útiles? Por supuesto, pero en función de las necesidades del cliente pueden ser muy poco flexibles. Si se deseen lanzar campañas de complejidad baja, poco personalizables y frecuentes son perfectas, pero sí lo que se busca es cuidar todos los detalles, que sea totalmente personalizable y poder tener el control absoluto, no son recomendables.

Sí se puede aplicar una solución híbrida entre ambas, las plataformas automatizadas para campañas frecuentes de complejidad baja, mientras las campañas manuales para las más dirigidas y personalizadas.
En nuestra opinión, los pequeños y cuidados detalles en las campañas de phishing son lo que pueden suponer que la campaña tenga éxito y para eso requiere que se le dé cariño y se puedan personalizar todos los detalles.

Nacho Brihuega
Nacho Brihuega

Coordinador técnico de hacking en ElevenPaths, Cuenta con varios años de experiencia en proyectos relacionados con hacking ético, auditorías técnicas y campañas de ingeniería social. Además, es coautor activo en el blog Follow The White Rabbit. En los últimos años es ponente habitual en los principales congresos nacionales de ciberseguridad informática y cuenta con la certificación OSCP.

Te puede interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *