Clasificación/Triaje - Decidir cuando investigar

Estudios de caso

Cuando reciba o le reenvíen un mensaje sospechoso, realice una clasificación inicial (triaje) para determinar si es realmente malicioso. Si es así, averigue cuál es la mejor respuesta y la más rápida para el destinatario o destinatarios, y determine si es necesario seguir investigando. Para la mayoría de los mensajes, basta con realizar una heurística básica para separar las amenazas no dirigidas de las dirigidas e identificar las acciones que reducen el daño.

Objetivos

Después de completar este módulo, el profesional debe poder diferenciar entre correos electrónicos legítimos, spam no dirigido y correos electrónicos de phishing. También debe diferencia los correos dirigidos en función de varios indicadores heurísticos.

Conocimiento Básico

El profesional debe ser capaz de reconocer las técnicas comunes de correo electrónico de phishing y los objetivos del atacante. Deben ser capaces de detectar signos reveladores comunes de un mensaje de phishing. Si necesita repasar este tema, consulte el Phishing Quizde Jigsaw.

La forma más sencilla y rápida de saber si un mensaje ha sido enviado por una persona conocida es utilizar métodos de baja tecnología. Un buen ejemplo de baja tecnología es hacer un seguimiento del remitente de un correo electrónico potencialmente sospechoso (suponiendo que lo conozca) en otro medio como una plataforma de mensajería instantánea para asegurarse de que fue él quien envió el correo electrónico y que el mismo es legítimo.

Asímismo puede darle un vistazo a estos dos artículos que contienenejemplos de tácticas y técnicas engañosas comúnmente utilizadas en los mensajes de phishing: 6 Common Phishing Attacks and How to Protect Against Them and 5 Common Phishing Techniques (vadesecure.com).

Criterios Prácticos de Clasificación

El spam y los mensajes de phishing masivo son una triste realidad de Internet. Investigar los mensajes y la infraestructura maliciosa que tengan que ver con estos solo es útil en unos pocos casos. Tenga en cuenta los siguientes criterios al decidir si vale la pena dedicar tiempo a investigar el mensaje y la infraestructura:

• Segmentación: ¿Se ha personalizado el mensaje (mediante el uso de métodos de ingeniería social y el conocimiento previo de la identidad de la persona objeto del ataque) para aumentar la probabilidad de que lleve a cabo la acción deseada (por ejemplo, hacer clic en un enlace, descargar un archivo adjunto malicioso)?
• Amenaza: ¿Cuál es el objetivo que se busca con el mensaje o la campaña? ¿Cuál es el contexto de riesgo/amenaza de la persona, organización o comunidad objeto del ataque?
• Valor de la intervención: ¿Cuál es el valor de investigar e intervenir más a fondo? ¿Interrumpir la infraestructura de los atacantes ayudaría a detener los ataques actuales o futuros? ¿Cuál es la probabilidad de que se reutilice la misma infraestructura maliciosa? ¿La imputación pública los haría menos propensos a realizar más ataques? ¿La exposición pública ayudaría a alertar a otras personas u organizacioines que pudieran ver comprometida su seguridad digital?¿La exposición pública ayudaría a alertar a otros objetivos que pueden verse comprometidos?
• Inversión: ¿Cuánto tiempo y cuántos recursos ha necesitado un atacante para crear el mensaje de phishing? ¿Ha creado, por ejemplo, nuevos dominios e infraestructuras?
• Singularidad: ¿El mensaje es único? ¿Se puede encontrar el mismo texto introduciendo citas del mensaje en los motores de búsqueda?

Una regla general es que sólo merece la pena investigar los mensajes dirigidos. Muchos correos electrónicos de spam o phishing terminan siendo de muy baja calidad o enviados en grupo o en forma masiva. Por lo general, estos mensajes los envían enemigos o rivales que podrían tener motivos financieros ocultos pero que no han atacado específicamente a la organización debido al trabajo de esta en el área de los derechos humanos o la sociedad civil. Por lo tanto, es menos probable que ataquen a las ONG en el futuro, ya que una reseña de sus actividades sería de menos beneficio para la comunidad.

También es probable que los atacantes que usan mensajes masivos o de menor calidad sean atrapados por pruebas y reglas automatizadas, y simplemente cambien los mensajes. Esto contrasta con aquellos que realizan ataques dirigidos que requieren una inversión mucho mayor y pueden utilizar el phishing como parte de una campaña híbrida más amplia, que también podría estar dirigida a otras ONG. Por lo tanto, investigar los mensajes dirigidos suele ayudar a descubrir estas campañas más amplias.

⚠️Recuerde, si no se siente seguro de poder responder al nivel de riesgo o a las necesidades de análisis de un mensaje malicioso, pida ayuda. Puede solicitar asistencia a los miembros de CiviCERT o a través de los proveedores de apoyo que figuran en el Botiquín Digital de Primeros Auxilios.

⚠️Al considerar llevar a cabo una investigación, asegúrese de sopesar la necesidad de reducir losdaños y apoye a cualquier persona u organización objeto de un ataque para que puedan aplicar medidas para paliar dichos daños tal como las que se detallan en Recuperarse de un posible compromiso de cuenta(securityinabox.org).

Comprobación de Habilidades

Dedique algo de tiempo al cuestionario de phishing de Shira hasta que sienta que puede pasar cómodamente las pruebas y reconocer con precisión el phishing en varias categorías de aplicaciones.

Recursos de Aprendizaje