Publicado el 5 de febrero de 2019
Los ataques de phishing que ponen en peligro el correo electrónico de las empresas no son nada nuevo, pero siguen siendo bastante eficaces y requieren un esfuerzo mínimo por parte de los adversarios. Un ejemplo es la brecha de Anthem Blue Cross de 2015. Tras localizar "campañas de correo electrónico fraudulentas dirigidas a miembros actuales y antiguos de Anthem", la empresa envió una declaración pública a los consumidores y a la prensa para advertirles, confiando en que los consumidores reconocieran y frustraran estos ataques de phishing.
Hay un lado positivo en los ataques de phishing basados en BEC, puede adelantarse a los atacantes y defender su organización antes incluso de que se lancen las campañas de phishing. El secreto está en encontrar la infraestructura previa al ataque. MITRE, como parte de su marco de mapeo de técnicas ATT&CK, escribió un artículo excelente y exhaustivo sobre este tema, pero el resumen es que para lanzar campañas de phishing y otros ataques que se basan en la suplantación de su marca, los adversarios primero deben crear (y poner en línea) la infraestructura para ejecutar estos ataques (consulte la técnica pre-ATT&CK 1338 de MITRE para obtener información adicional). Para ayudarle a encontrar certificados falsos y sospechosos, Censys pone a su disposición registros de transparencia de certificados en los que se pueden realizar búsquedas. Con estos datos, puede comprender mejor el comportamiento y la metodología de los adversarios.
Normalmente, se trataría de dominios fraudulentos que se parecen al dominio legítimo de su marca. En el caso de Anthem, se podría pensar en un atacante que suplantara a clientes de Anthem utilizando un enlace que parece legítimo pero que está escrito incorrectamente o incluye un error ortográfico o un guión erróneo en el nombre de dominio (esto se denomina "secuestro de enlace" o "typo squatting"). En este ejemplo, vería "anth3mbluecross.com" o "anthem-bluecross", que a primera vista podría parecer oficial o legítimo y combinado con un lenguaje convincente - "¡Nuevas ventajas para los clientes de Anthem, haga clic aquí!" - engañar a la gente para que haga clic en el enlace y transmita datos inadvertidamente a un atacante.
Localización de infraestructuras adversarias y preataques
Hay muchas formas diferentes de encontrar infraestructuras de atacantes que puedan ser utilizadas para lanzar ataques contra usted, pero uno de los primeros y más rápidos esfuerzos debería ser la búsqueda de permutaciones de nombres de dominio. La herramienta de código abierto DNS Twist es genial para automatizar las permutaciones de nombres de dominio, proporcionándote una lista de dominios potencialmente fraudulentos que podrían ser utilizados contra tu marca.
Con esta lista a mano, puede empezar a ejecutar consultas en Censys para encontrar estas instancias y empezar a eliminarlas o bloquearlas antes de que se lance cualquier ataque.
En este ejemplo, buscamos dominios potencialmente fraudulentos similares a binance.com, un popular sitio de intercambio de criptomonedas. Estos son los resultados de la búsqueda. Esta consulta devuelve una serie de resultados, pero un conjunto lo suficientemente pequeño como para poder revisarlo manualmente.
Con herramientas de código abierto y Censys, puede adelantarse a posibles ataques y bloquearlos antes de que se conviertan en un problema. Aunque estas búsquedas de dominios fraudulentos no son una solución completa para luchar contra el phishing, le ayudarán a emitir solicitudes de retirada y bloquear cuentas de las que probablemente no tenía conocimiento antes de ejecutar estos análisis. Cuanto más sepa, mejor.
