Las empresas han permitido cada vez más políticas de BYOD para respaldar el trabajo remoto, pero en el panorama actual de ciberseguridad, esta tendencia ha llevado a una mayor superficie de ataque.
Cada punto final adicional aumenta la posibilidad de que las credenciales se vean comprometidas a través de ataques de phishing de credenciales. Los piratas informáticos están aprovechando esta tendencia para realizar ataques internos, lo que deja a las empresas vulnerables a las filtraciones de datos.
Según el informe de tendencias de amenazas de seguridad cibernética de 2021 de CISCO, el 90% de todas las filtraciones de datos ocurren a través de ataques de phishing. En particular, el phishing selectivo contribuye al 65 % de las infracciones.
Se debe enfatizar que, a menudo, todo lo que un intruso necesita es un conjunto único de credenciales válidas para comprometer los datos de toda una red. El uso generalizado de contraseñas simples, la autenticación de un solo factor y los servicios en la nube han contribuido al crecimiento exponencial de los ataques de phishing de credenciales.
De hecho, los profesionales de la ciberseguridad se enfrentan constantemente a desafíos para mantener la red de una organización fuera del alcance de los intrusos. En este blog, hemos descifrado toda la información que debe tener en cuenta para mitigar el riesgo de ataques de phishing de credenciales.
¿Qué es un ataque de phishing de credenciales?
Las credenciales incluyen nombres de usuario, ID de correo electrónico, contraseñas, pines y otra información de identificación personal (PII) utilizada para autenticar el acceso de un usuario. Un ataque de phishing es una táctica de ingeniería social utilizada por piratas informáticos para robar credenciales a través de comunicaciones manipuladas por correo electrónico, SMS, redes sociales, etc.
El phishing de credenciales en particular es la táctica más fácil y popular utilizada por agentes malintencionados para robar esta información. Si bien no todas las credenciales robadas conducen directamente a datos robados o redes comprometidas, los piratas informáticos a menudo usarán estas credenciales robadas para suplantar objetivos secundarios que tienen un acceso más privilegiado.
Los atacantes a veces están motivados por quién es la víctima, con la intención de causar estragos o de obtener información y acceder a información particular. Otras veces, la víctima es indiferenciada y el atacante está motivado por una ganancia monetaria directa. En estos casos, los adversarios pueden pedir un rescate para devolver la información confidencial robada o intentar vender las credenciales robadas en la web oscura (lo que a su vez conduce a ataques persistentes).
Además de los correos electrónicos de phishing, los piratas informáticos también utilizan otras variantes como los ataques smishing (phishing basado en SMS) y vishing (phishing basado en llamadas de voz) para aumentar su tasa de éxito.
¿Cómo funciona un ataque de phishing de credenciales?
Los ataques de phishing dirigidos (también conocidos como phishing de lanza) son un ataque de phishing basado en correo electrónico que parece provenir de fuentes confiables pero que lo envían los piratas informáticos. Spear phishing es el tipo más común de ataque de phishing que los piratas informáticos utilizan para entrometerse en la red de una organización.
Un ejemplo de un ataque de phishing
Primero, un intruso elige a un empleado a través de LinkedIn o cualquier otra plataforma de redes sociales e investiga a fondo al objetivo. Luego, el intruso determina qué detalles son pertinentes para infundir confianza en su objetivo, como en qué ID de correo electrónico pueden confiar o el nombre de un cliente o proyecto.
Luego, enviará un correo electrónico con un enlace de phishing; por lo general, el enlace redirige al empleado objetivo a un sitio web similar. Los piratas informáticos suelen utilizar tácticas de ingeniería social para crear una sensación de urgencia en la víctima, lo que hace que sea menos probable que se den cuenta de que están siendo engañados antes de ingresar sus credenciales de inicio de sesión. Una vez que el atacante roba sus credenciales, inicia sesión usando sus credenciales como proxy y realiza un ataque interno.
Detección de ataques de phishing de credenciales
Los piratas informáticos están constantemente entrometiéndose en los sistemas para explotar cualquier vulnerabilidad y demoler su infraestructura de red. Hay algunas formas de detectar intentos de phishing, por lo que es crucial estar atento a cualquier cosa fuera de lo común. Por ejemplo, antes de hacer clic en cualquier enlace de correo electrónico, pase el mouse sobre ellos para verificar si apunta a un sitio web legítimo.
Incluso si el sitio web es legítimo, los piratas informáticos aún pueden engañarlo al enviar un enlace genuino a un sitio web, pero luego interceptar su conexión y realizar un ataque de intermediario. Otras cosas que debe verificar incluyen la ortografía, la gramática, el tono y la urgencia del mensaje después de confirmar la identificación del correo electrónico del remitente y la línea de asunto para verificar la confiabilidad.
Prevención de ataques de phishing de credenciales
Cuando los piratas informáticos realizan ataques sofisticados a través de malware, el software de seguridad actuará como la primera línea de defensa. Sin embargo, cuando los piratas informáticos utilizan tácticas de ingeniería social, eluden el software de seguridad persuadiendo hábilmente a un empleado como objetivo de su ataque.
Una estrategia general de prevención es realizar capacitaciones de concientización sobre seguridad cibernética. Todos los empleados deben estar capacitados para identificar las técnicas comunes de ciberataque, incluidos los correos electrónicos fraudulentos y de phishing, así como otras tácticas que podría usar un intruso.
Inculque la expectativa de hacer una pausa y pensar antes de compartir cualquier información confidencial. Cuando se trata de solicitudes aparentemente pertinentes, se debe esperar que sus empleados confirmen con el destinatario a través de una llamada o algún otro método. Esto puede parecer trivial, pero ayuda mucho a mantener su red segura.
Además de educar a los empleados, puede reducir el riesgo de ataques de phishing implementando las siguientes medidas de seguridad en su organización:
Habilite la autenticación multifactor (MFA): las organizaciones deben implementar MFA para agregar otra capa de seguridad al autenticar a un usuario. Incluso si los piratas informáticos obtienen las credenciales de un usuario, esos piratas informáticos se verán frustrados porque no tendrán acceso a una contraseña de un solo uso (OTP) u otros métodos de autenticación.
Use extensiones de navegador y firewalls: use programas y complementos que filtren sitios web sospechosos, direcciones IP no confiables y correos electrónicos de phishing. Configure disparadores para alertar instantáneamente a los usuarios cuando puedan estar interactuando accidentalmente con amenazas.
Adopte una política de confianza cero: antes de que sus empleados caigan en la trampa de un atacante, mitigue de manera proactiva el riesgo de ataques de phishing de credenciales con la ayuda de técnicas avanzadas basadas en ML basadas en datos de UEBA.
Implemente la administración de acceso privilegiado (PAM): Supervise periódicamente todas las cuentas de usuarios privilegiados dentro de la red de una organización. Limite el número de usuarios privilegiados que tienen acceso a información confidencial.
¿Cómo me ayudará ManageEngine Log360 a mitigar el riesgo?
Con la capacitación y el software adecuados, podrá mitigar la mayoría de los riesgos de filtraciones de datos. Sin embargo, la naturaleza de los ataques de phishing de credenciales los hace difíciles de detectar, independientemente de qué tan bien entrene a los empleados.
Por lo tanto, es aconsejable confiar en un sistema de detección de intrusos (IDS) y mecanismos de seguridad de punto final para combatir los riesgos de ataques de phishing de credenciales. Cuando un intruso inicia sesión con las credenciales robadas de un empleado en un momento inusual, o intenta acceder a recursos confidenciales, Log360 toma medidas inmediatas y envía alertas en tiempo real a su equipo SOC, mejorando así el tiempo de respuesta ante incidentes.
ManageEngine Log360 es una solución SIEM integral que le permite mitigar de manera proactiva los ataques de seguridad internos y externos, así como detectar ataques internos, exfiltración de datos y compromisos de cuentas, con su módulo UEBA impulsado por ML.
Log360 también proporciona informes listos para usar y alertas de seguridad en tiempo real de detección de amenazas, respuestas a incidentes y eventos en su red y mantiene a raya a los piratas informáticos.
Descargue y explore las características integrales de ManageEngine Log360 con una versión de prueba gratuita de 30 días. Estaremos encantados de guiarlo a través de nuestro producto.