Herramientas prácticas para prevenir el phishing

By:
Hiscox España
Hiscox España

Recientemente asistí al caso de otra empresa que se había visto comprometida por un caso de phishing, con un empleado haciendo click en un enlace de un correo malicioso. No pude por menos que pensar para mí mismo “¿En serio? ¿Otra vez con esto?”. Me pareció especialmente relevante dado el ejemplo de phishing, que era tremendamente burdo y mal creado y, especialmente por la concienciación que parece que ya hay con este tema, que se comenta en todas las charlas de ciberseguridad. Sin embargo, me pongo en la piel de esos empleados que no terminan de entender qué es el phishing pero, como parece que todo el mundo ya sabe lo que es y cómo evitarlo, prefieren no decir nada en absoluto y esperan (y rezan) para que nunca les toque. Y, como uno tiene este espacio en Internet para mejorar la ciberseguridad, y como también se acercan las vacaciones y nos conocemos todos que vamos a relajar nuestro estado de alerta ante virus y otras amenazas; he decidido enfocar el artículo de hoy a dar herramientas prácticas justamente a esos empleados que aún puedan tener dudas sobre el phishing.

Como pretendo hacer de este artículo un modelo práctico, no entraré en las típicas claves para identificar un phishing, que ya están disponibles en numerosos puntos de Internet, sino que me centraré en claves algo más prácticas para los empleados.

El primer punto y más sencillo que puede hacer cualquier empleado que dude es chequear el enlace o el archivo que sea. Nótese que ya ni siquiera hablo de no hacer click o no descargar el archivo en cuestión, pues sé que la pulsión a hacerlo es mayor que la disciplina que intentamos inculcar desde los departamentos de ciberseguridad, sino que sólo pido que se haga un paso previo antes de hacerlo: verificar el enlace o el fichero que vamos a abrir/ejecutar de manera preventiva. ¿Y cómo hago esto? Pues sencillo; se puede analizar un archivo con el antivirus que tengamos disponible instalado por nuestra empresa a través del menú al hacer click con el botón derecho o, en caso de no tener antivirus o como segunda validación, chequear tanto ficheros como enlaces a través de servicios online de seguridad como VirusTotal. Para los que no lo conozcáis, VirusTotal (https://www.virustotal.com/gui/) es un portal que recoge los ficheros o enlaces que le mandamos y los accede y ejecuta por nosotros en entornos virtuales controlados de sus servidores, analizando cualquier comportamiento anormal que se pueda producir y que represente una amenaza. Cuando termina, nos presenta los resultados de manera sencilla y bastante amigable para el usuario (os muestro un ejemplo a continuación del último email de phishing que recibí con un enlace aparentemente no malicioso).

virustotal

 

Algo similar ocurre si le presentamos un fichero que consideramos malicioso (se trata de un excel malicioso creado por mí mismo):

virustotal2

Vemos primero cómo pasa desapercibido para la mayoría de los antivirus (lógicamente lo he creado yo y nunca lo he difundido, luego no existe previamente) y como resalta comportamientos extraños que deberían hacer saltar nuestras alertas, como el hecho de que el fichero tiene macros (macros), intenta ejecutar acciones al abrirse (auto-open), envía cosas por email (email-pattern) y ejecuta acciones como un programa (exe-pattern). Con esto podemos tomar mejores decisiones antes de abrir un archivo sin necesidad de depender de acordarnos de todo lo que hemos aprendido en las campañas de concienciación de ciberseguridad. Aunque ésta es una herramienta muy completa, tenemos otras a nuestra disposición con la misma finalidad como son:

https://checkphish.ai/https://www.urlvoid.com/http://onlinelinkscan.com/http://phishtank.org/ ó https://www.joesandbox.com/#windows 

El segundo y último punto que os quiero trasladar hoy es que estas herramientas no son infalibles, por lo que no está de más indagar un poco más, aunque la herramienta nos diga que no hay peligro. Nos lleva 5 minutos y nos puede ahorrar buenos sustos. Tomemos por ejemplo este otro caso de phishing recibido recientemente por mí para la URI (¡OJO no abráis este enlace! http://feedproxy.google.com/~r/21d85e/~3/J9CdpRZvqf8/apmix ):

Aunque la herramienta solo nos reporta un fabricante menor que nos dice que es malicioso, una búsqueda en Google, viendo el patrón que se repite de la url “http://feedproxy.google.com/~r“ AND “/~3“ AND “apmix“  “phishing”, nos arroja resultados bastante interesantes de que estamos ante una campaña automática de phishing (hay una parte de la url que se genera de manera aleatoria, los códigos 21d85e y J9CdpRZvqf8, para que sea más difícil de detenerlo, pero se genera en base a una estructura común):

Búqueda Google

Espero que este artículo os haya servido a todos, tanto los que teníais claro el concepto como los que no, para dotaros de herramientas de uso en vuestro día a día (ya podéis añadir VirusTotal a vuestros marcadores habituales). ¡Un abrazo y nos vemos el próximo mes!

Categories:

  • Ciberseguridad