Cómo funciona la detección de Spear Phishing (estafa dirigida)

Hay una rama de las técnicas de estafa por correo electrónico que está comenzando a circular, y se llama spear phishing. Este nuevo tipo de phishing ha estado en una tendencia ascendente constante desde 2015, haciendo que las empresas sufran pérdidas masivas y drenando millones de dólares de la economía a manos de piratas informáticos emprendedores.

Ha recibido tanta atención en los últimos años que el 18 de agosto de 2017, Facebook otorgó su Premio de Defensa de Internet anual a un grupo de investigadores de la Universidad de California, Berkeley, que logró crear un proyecto automatizado de detección de spear phishing. Han publicado un artículo útil sobre el tema lo que nos ayudará a entender cómo debería funcionar la detección de spear phishing en un entorno corporativo.

¿Qué hace que el spear phishing sea una amenaza?

candado-de-seguridad-en-tarjetas-de-crédito-con-una-nota-de-anzuelo-poca-profundidad-de-campo

Si quieres un resumen de lo que es el spear phishing, ya lo he escrito extensamente en este artículo. El nivel de sofisticación en un ataque de spear phishing puede diferir según los recursos disponibles para el hacker.

Pero, en general, el objetivo es crear un correo electrónico que imite a la perfección lo que la víctima recibiría de una persona de confianza. Esto significa que estos correos electrónicos en particular a menudo carecerán de los signos de un mensaje fraudulento. Dado que parece legítimo, hace que la víctima baje la guardia, haciéndola más susceptible de hacerse daño inadvertidamente a sí misma oa las empresas en las que trabaja.

Aquí está la parte aterradora: el mensaje de correo electrónico incluso podría provenir de la dirección de alguien en quien la víctima confía, falsificando el nombre y otros detalles y descartando los métodos de detección tradicionales.

Cómo detectan los algoritmos los correos electrónicos

detección de spearphishing

A pesar de que los correos electrónicos de spear phishing suelen parecer muy legítimos en comparación con los mensajes distribuidos mediante el estilo tradicional de phishing de “lotería”, el spear no es tan afilado como parece. Cada mensaje falso tiene su voz. En este caso particular, se trata de hacer un simple análisis heurístico de todos los mensajes enviados hacia y desde la víctima, detectando patrones tanto en el idioma del cuerpo como en el contenido del encabezado del correo electrónico.

Si, por ejemplo, tiene un contacto que generalmente le envía un mensaje desde los Estados Unidos y de repente recibe un mensaje de ese mismo contacto que se origina en Nigeria, eso podría ser una señal de alerta. El algoritmo, conocido como puntuación de anomalía dirigida (DAS) también examina el mensaje en sí mismo en busca de signos de contenido sospechoso. Por ejemplo, si hay un enlace dentro del correo electrónico a un sitio web y el sistema advierte que ningún otro empleado de su empresa lo ha visitado, esto podría marcarse como algo sospechoso. El mensaje podría analizarse más a fondo para determinar la “reputación” de las URL que contiene.

Dado que la mayoría de los atacantes solo falsificarán el nombre del remitente y no su dirección de correo electrónico, el algoritmo también puede intentar correlacionar el nombre del remitente con un correo electrónico utilizado en los últimos meses. Si el nombre del remitente y el correo electrónico no corresponden a nada usado en el pasado, eso generará alarmas.

En pocas palabras, el algoritmo DAS escaneará el contenido del correo electrónico, su encabezado y los registros LDAP corporativos para tomar una decisión sobre si el correo electrónico es el resultado de un intento de spear phishing o es simplemente un mensaje extraño pero legítimo. En su prueba de análisis de 370 millones de correos electrónicos, DAS detectó 17 de 19 intentos y tuvo una tasa de falsos positivos del 0,004%. ¡No está mal!

Ahora, aquí hay otro problema: ¿cree que los escáneres de correo electrónico violan la privacidad de las personas, incluso cuando se utilizan en un entorno corporativo cerrado únicamente para la detección de estafas? ¡Discutamos esto en los comentarios!

¿Es útil este artículo?

Compártelo con alguien que le pueda resultar de ayuda

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *