Detenga el phishing y reduzca la exfiltración y la comunicación cifradas.

Hubo un tiempo en que los ataques de phishing y spear phishing solo surgían en épocas específicas del año, como días festivos importantes como Navidad o Año Nuevo chino, días festivos de gran afluencia de consumidores como el Día de San Valentín o el Festival de los Faroles en China, o en eventos de compras de consumidores como el Viernes Negro o el Ciberlunes en los Estados Unidos, el Boxing Day (26 ^de diciembre) en el Reino Unido y la Mancomunidad de Naciones, o el Día de los Solteros ( ^{11 de} noviembre) en Asia.

Los atacantes se dieron cuenta entonces de que podían aprovechar el FUD (miedo, incertidumbre y duda) impulsado por desastres naturales y provocados por el hombre, guerras, enfermedades, elecciones o cualquier acontecimiento que impulse el ciclo de noticias actual para sembrar sus semillas maliciosas.

En el Reino Unido, la Oficina del Comisionado de Información (ICO) indicó que el phishing fue la principal causa de infracciones cibernéticas entre abril de 2019 y marzo de 2020. La Oficina del Comisionado de Información de Australia (OAIC) mostró que el phishing representó el 36% de todos los casos denunciados, encabezando su lista.

Con ese fin, los ataques de phishing y spear phishing han aumentado drásticamente a lo largo de 2020, impulsados por la amenaza de una pandemia mundial, naciones en cuarentena o confinamiento, trabajadores que deben trabajar desde casa e incluso elecciones polémicas en Estados Unidos y otras naciones. Incluso el anuncio de que hay vacunas listas para enfrentar la COVID-19 se está aprovechando para incitar incluso a personas cautelosas a abrir correos electrónicos de fuentes desconocidas (o incluso de fuentes conocidas cuyas cuentas pueden haber sido violadas y secuestradas) para luego propagar malware y otros vectores de ataque maliciosos, y robar información de usuarios y corporativa o permitir el acceso ilícito a redes, nubes, aplicações y datos sensibles.

Una de las razones más citadas para la reciente explosión de ataques de phishing han sido las órdenes de trabajo desde casa precipitadas por la pandemia de COVID-19. Muchos empleados, contratistas y otros miembros del personal se vieron obligados a trabajar desde casa o de forma remota y esto rápidamente atrajo la atención no deseada de los atacantes. Comprendieron que existe una gran probabilidad de que las personas que trabajan de forma remota se vean sometidas a una mayor presión, bajen la guardia y comiencen a hacer clic en enlaces en casi cualquier correo electrónico, incluso en aquellos que normalmente podrían generar sospechas. También saben que quienes trabajan desde casa podrían estar usando productos BYOD que no tendrán las herramientas que suelen usar las organizaciones para protegerlos de ataques como el phishing. Los atacantes y piratas informáticos también creen que los trabajadores que trabajan desde casa podrían no tener suficiente ancho de banda para mantener el software de seguridad funcionando o actualizado, y podrían desactivar o perder actualizaciones de su software de seguridad. Muchas veces tienen razón.

Phishing y cifrado

A medida que los ataques de phishing han aumentado rápidamente, el número de sitios de phishing que utilizan cifrado ha seguido el mismo ritmo. Según el reciente Informe sobre phishing y fraude 2020 de F5 Labs , casi el 72% de los enlaces de phishing envían a las víctimas a sitios web encriptados HTTPS. Esto significa que la gran mayoría de sitios de phishing maliciosos ahora parecen ser sitios web válidos y creíbles que pueden engañar fácilmente incluso al empleado más astuto. Estos datos también han sido corroborados por investigaciones de otros informes, incluido un informe de Venafi que descubrió dominios sospechosos que imitan tiendas minoristas y que usan certificados válidos para hacer que los sitios web de phishing parezcan válidos, lo que conduce al robo de datos confidenciales de cuentas y pagos.

Y no son sólo los sitios web malignos los que aprovechan el cifrado TLS para parecer convincentes y legítimos. También son destinos a los que el malware, distribuido mediante ataques de phishing, envía datos que roba de las víctimas y sus organizaciones; estos destinos se denominan zonas de entrega. Según el Informe de phishing y fraude de 2020 de F5 Labs, el 100 % de los incidentes que involucraron zonas de colocación investigados por el Centro de operaciones de seguridad (SOC) de F5 durante 2020 utilizaron cifrado TLS.

Detectar amenazas en el tráfico cifrado no es fácil

Hoy en día existen numerosas soluciones disponibles para abordar el phishing desde distintos ángulos. Existen soluciones para capacitar al personal sobre cómo reconocer y manejar los ataques de phishing para reducir la aceptación y la eficacia de los ataques. Estas soluciones abordan la seguridad del correo electrónico, protegiendo contra spam, malware y archivos adjuntos maliciosos, ataques BEC y más. Existen servicios para gestionar el correo electrónico de una organización. Incluso hay ofertas que hacen proxy del tráfico web de una organización, lo replican o imitan y envían código a dispositivos locales para que se procese o que imitan la página web pero sin ninguno de los códigos subyacentes sospechosos y posiblemente maliciosos.

Si bien todas ellas son excelentes soluciones, aún existe el problema de abordar el tráfico cifrado. Si el tráfico está cifrado, es necesario descifrarlo antes de poder comprobar si contiene malware y otros códigos peligrosos. Esto se aplica igualmente al tráfico cifrado que llega a la organización proveniente de usuarios que hacen clic en enlaces dañinos y propensos a malware en correos electrónicos de phishing, descargan archivos adjuntos cargados de código malicioso y acceden a sitios web maliciosos que parecen reales y benignos porque tienen el certificado de cifrado "correcto", así como el tráfico cifrado que sale con datos robados hacia una zona de entrega cifrada o que se comunica con un servidor de comando y control (C2) para obtener más instrucciones o desencadenantes para desatar aún más ataques.

Además, esto ni siquiera tiene en cuenta que las regulaciones gubernamentales de privacidad, como el Reglamento General de Protección de Datos (GDPR) en la Unión Europea (UE), la Ley de Privacidad del Consumidor de California (CCPA) o muchas otras regulaciones que se debaten en naciones de todo el mundo, generalmente incluyen un lenguaje que impide el descifrado de información personal del usuario, como datos financieros o de salud del usuario. Cualquier descifrado de tráfico cifrado debería abordar estos mandatos de privacidad, o podría dar lugar a litigios y multas sustanciales para cualquier organización que incumpla estas regulaciones.

Pero espera, hay más…

Dicho todo esto, los ataques de phishing actuales que utilizan cifrado esconden aún más peligros y las organizaciones deben tenerlos en cuenta. El Informe de phishing y fraude 2020 de F5 Labs también descubrió que más del 55 % de las zonas de colocación utilizan un puerto SSL/TLS no estándar, mientras que más del 98 % de los sitios web de phishing utilizan puertos estándar, como el puerto 80 para tráfico HTTP de texto sin formato y el puerto 443 para tráfico cifrado. Esto significa que, especialmente para el tráfico saliente cifrado, confiar en el escaneo de puertos estándar no es suficiente. Las soluciones implementadas necesitan escanear y descifrar el tráfico saliente en puertos no estándar. Esto es imperativo para detener la ofuscación y exfiltración de datos críticos.

Hoy en día, para detener las amenazas cifradas transmitidas por los ataques de phishing, las organizaciones necesitan inspeccionar todo el tráfico SSL/TLS entrante para garantizar que cualquier tráfico web malicioso o posiblemente iniciado por phishing se detenga y elimine. Pero esa inspección debe incluir la capacidad de descifrar de manera inteligente el tráfico cifrado que contiene información confidencial del usuario, como información financiera o relacionada con la salud. Además, las organizaciones actuales necesitan bloquear por completo o al menos monitorear los puertos web salientes no estándar para detener el malware de las comunicaciones cifradas con los servidores C2 y de zona de colocación, para detener la exfiltración de datos o los desencadenantes de ataques. También hay otros aspectos clave a tener en cuenta, como el tipo de cifrado compatible con los dispositivos en la pila de seguridad. Por ejemplo, si un atacante sabe que un determinado dispositivo de seguridad no puede soportar el secreto hacia adelante (también conocido como secreto hacia adelante perfecto o PFS), puede aprovecharlo para que el tráfico cifrado simplemente pase a través del dispositivo de seguridad. Esta acción es especialmente costosa y peligrosa en entornos donde los dispositivos de seguridad de la pila están conectados en cadena. Si el único dispositivo que no admite PFS omite el tráfico, el resto de la cadena lo omitirá.

Sin estas protecciones implementadas, además de capacitación en concientización sobre seguridad y soluciones de seguridad de correo electrónico o antiphishing implementadas, las organizaciones quedan expuestas a ataques y violaciones, y al robo de datos corporativos y de usuarios críticos.

Para obtener información sobre cómo F5 SSL Orchestrator puede eliminar el punto ciego de seguridad que genera el tráfico cifrado y cómo puede atravesar la ofuscación de datos críticos que se exfiltran y roban, haga clic aquí .