Módulo 1
Triage - Deciding when to investigate
Última actualización en: 29 Octubre 2024
Editar esta página en GitHubEstudios de caso
Cuando reciba o le reenvíen un mensaje sospechoso, realice una clasificación inicial para determinar si es realmente malicioso, si la respuesta es positiva, averigue cuál es la mejor respuesta rápida para el destinatario o destinatarios y determine si es necesario seguir investigando. Para la mayoría de los mensajes, basta con realizar una heurística básica para separar las amenazas no dirigidas de las dirigidas e identificar las acciones que reducen el daño.
Objetivos
Después de completar este submódulo, el profesional debe ser capaz de diferenciar entre correos electrónicos legítimos, spam no dirigido o correos electrónicos de phishing, y los dirigidos en función de varios indicadores heurísticos.
Sección Principal
Conocimiento Fundamental
El profesional debe ser capaz de reconocer las técnicas comunes de correo electrónico de phishing y los objetivos del atacante. Deben ser capaces de detectar signos reveladores comunes de un mensaje de phishing. Si necesita repasar este tema, consulte el Phishing Quizde Jigsaw.
La forma más sencilla y rápida de determinar si un mensaje ha sido enviado por una persona conocida es utilizar métodos de baja tecnología. Un buen ejemplo de un enfoque de baja tecnología es hacer un seguimiento del remitente de un correo electrónico potencialmente sospechoso (suponiendo que lo conozca) en otro medio de comunicación como una mensajería instantánea para asegurarse de que fue él quien envió el correo electrónico y que es legítimo.
También eche un vistazo a estos dos artículos con ejemplos de tácticas y técnicas engañosas comúnmente utilizadas en los mensajes de phishing: 6 Common Phishing Attacks and How to Protect Against Them and 5 Common Phishing Techniques (vadesecure.com).
Criterios Prácticos de Clasificación
El spam y los mensajes de phishing no dirigidos son una desafortunada realidad de Internet. Investigar los mensajes y la infraestructura maliciosa relacionada es solo un ejercicio práctico y útil en un pequeño conjunto de casos. Tenga en cuenta los siguientes criterios al decidir si vale la pena dedicar tiempo a investigar el mensaje y la infraestructura relacionada:
- Focalización: ¿Se ha personalizado el mensaje (mostrando la ingeniería social y el conocimiento previo de la identidad de la persona objetivo) para aumentar la probabilidad de que lleve a cabo la acción prevista (por ejemplo, hacer clic en un enlace, descargar un archivo adjunto malicioso)?
- Amenaza: ¿Cuál es el objetivo previsto del mensaje/campaña? ¿Cuál es el contexto de riesgo/amenaza de la persona, organización o comunidad objetivo?
- Valor de la Intervención: ¿Cuál es el valor de investigar e intervenir más a fondo? ¿Interrumpir la infraestructura de los atacantes tendría un impacto valioso para detener los ataques actuales o futuros? ¿Cuál es la probabilidad de que se reutilice la misma infraestructura maliciosa? ¿La exposición/atribución pública los haría menos propensos a realizar más ataques? ¿La exposición pública ayudaría a alertar a otros objetivos que pueden verse comprometidos?
- Inversión: ¿Cuánto tiempo y cuántos recursos ha necesitado un atacante para crear ese mensaje? ¿Han creado, por ejemplo, nuevos dominios e infraestructuras?
- Singularidad: ¿El mensaje es único? ¿Se puede encontrar el mismo texto buscando citas del mensaje en los motores de búsqueda?
Una regla general es que sólo merece la pena investigar los mensajes dirigidos. Muchos correos electrónicos de spam o phishing terminan siendo de muy baja calidad o enviados en masa. Por lo general, son enviados por adversarios que podrían tener algún motivo financiero pero que no se han dirigido específicamente a la organización debido a su trabajo de derechos humanos o de la sociedad civil. Por lo tanto, es menos probable que ataquen a las ONG en el futuro, y una reseña de sus actividades sería de menos beneficio para la comunidad.
También es probable que los atacantes que usan mensajes masivos o de menor calidad sean atrapados por pruebas y reglas automatizadas y simplemente cambien los mensajes, en contraste con aquellos que persiguen ataques dirigidos que requieren una inversión mucho mayor. Y pueden utilizar el phishing como parte de una campaña híbrida más amplia, que también podría estar dirigida a otras ONG. Por lo tanto, investigar los mensajes dirigidos a menudo puede ayudar a descubrir estas campañas más amplias.
⚠️Recuerde, si necesita ayuda adicional y no se siente seguro de poder responder al nivel de riesgo o a las necesidades de análisis de un mensaje malicioso, pida ayuda, por ejemplo, a los miembros de CiviCERT o a través de los proveedores de apoyo que figuran en el Botiquín Digital de Primeros Auxilios.
⚠️Al considerar o llevar a cabo una investigación, asegúrese de sopesar las necesidades de reducción de daños y apoye cualquier objetivo para aplicar acciones oportunas de reducción de daños, como las enumeradas en Recuperarse de un posible compromiso de cuenta (securityinabox.org).
Comprobación de Habilidades
Dedique algo de tiempo al cuestionario de phishing de Shira hasta que sienta que puede pasar cómodamente las pruebas y reconocer con precisión el phishing en varias categorías de aplicaciones.
Recursos de Aprendizaje
Shira de Horizontal
GratisUn cuestionario en línea con correos electrónicos de muestra, donde el usuario debe decidir si son maliciosos
Idiomas: Inglés, Español, Mandarín
Visitar SitioPhishing Quiz de Jigsaw
GratisUn cuestionario en línea con correos electrónicos de muestra, donde el usuario debe decidir si son maliciosos
Idiomas: 27 idiomas
Visitar Sitio6 ataques de phishing comunes y cómo protegerse contra ellos
GratisUn resumen de algunos ataques de phishing comunes, que también incluye algunos métodos más sofisticados utilizados por los atacantes
Idiomas: Inglés
Visitar Sitio5 técnicas comunes de phishing
GratisUn vistazo a algunas técnicas que utilizan los atacantes para hacer que los correos electrónicos de phishing sean más convincentes y, ocasionalmente, escapen a la detección
Idiomas: Inglés
Visitar SitioCiviCERT
GratisUna red de organizaciones de la sociedad civil y grupos de respuesta rápida que se centran en ciberataques y amenazas similares
Idiomas: Inglés
Visitar SitioBotiquín Digital de Primeros Auxilios
GratisUna guía completa de apoyo a los protectores digitales que se ocupan de una variedad de cuestiones diferentes
Idiomas: Árabe, Español, Farsi, Francés, Indonesio Armenio Kirguís, Birmano, Portugués, Ruso, Albanés, Tailandés, Ucraniano
Visitar SitioRecuperarse de un posible compromiso de cuenta
GratisUna guía sobre qué medidas inmediatas y a largo plazo tomar cuando una cuenta ha sido comprometida
Idiomas: Árabe, Indonesio Inglés, Español, Farsi, Francés, Portugués, Ruso, Tailandés Turco, Vietnamita, Chino, Tibetano, Jemer, Birmano
Visitar Sitio¡Felicidades por terminar Módulo 1!
Marque la casilla para confirmar su finalización y continúe al siguiente módulo.
Marca el módulo actual como completado y guarda el progreso para el usuario.
🎉
¡Felicidades!
Has completado todos los módulos en este camino de aprendizaje.