Phishing al Descubierto: Los Peligros Ocultos de las Estafas por Email
Aprende cómo los ataques de phishing aprovechan redes de confianza para robar información.
Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
― 10 minilectura
Tabla de contenidos
- Por qué el Phishing es un Problema
- El Lado Oscuro de las Redes de Correo
- Cómo se Entregan los Correos de Phishing
- El Conjunto de Datos: Un Análisis Profundo
- El Poder de las Cabeceras de Correo
- ¿Cuántos Correos de Phishing Pasan?
- El Paisaje Cambiante del Phishing
- Servicios de Filtrado de Correo: ¿Ayudan?
- Un Vistazo Más Cercano a la Infraestructura de los Atacantes
- Identificando Campañas de Phishing
- El Desafío de la Autenticación de Correo
- El Papel de los Servicios de Alojamiento
- Distribución Geográfica de los Correos de Phishing
- Estudios de Caso sobre el Comportamiento del Phishing
- Nuevas Estrategias para la Detección de Phishing
- Resultados del Mundo Real del Nuevo Enfoque
- Conclusiones y Puntos Clave
- Fuente original
- Enlaces de referencia
El Phishing es un tipo de estafa online donde los atacantes envían correos fraudulentos para engañar a las personas y que revelen información personal. Es como un pescador lanzando su anzuelo para atrapar peces, pero en vez de eso, intentan captar tus datos sensibles. Estos correos suelen parecer que vienen de fuentes confiables y, generalmente, contienen enlaces a sitios web falsos que parecen legítimos.
Por qué el Phishing es un Problema
Los ataques de phishing son una amenaza significativa para las organizaciones, costándoles miles de millones de dólares. Pueden interrumpir operaciones, robar información sensible e incluso amenazar la seguridad nacional. En el mundo online de hoy, donde los correos son una forma principal de comunicación, es crucial estar al tanto de las tácticas usadas por los estafadores y cómo protegerte a ti y a tu organización.
El Lado Oscuro de las Redes de Correo
Aunque solemos pensar en empresas respetables como Microsoft y Amazon como lugares seguros para enviar y recibir correos, es sorprendente que un gran volumen de correos de phishing provenga de sus servidores. Imagina descubrir que tu tienda de barrio está vendiendo fruta podrida—¡es un shock!
Los atacantes no suelen enviar correos directamente desde servidores sospechosos. Prefieren usar estos servicios conocidos porque tienen más posibilidades de pasar los filtros. Así que, aunque la mayoría de los correos de estas empresas son inofensivos, una parte de correos de phishing logra colarse.
Cómo se Entregan los Correos de Phishing
Cada correo viaja a través de una serie de servidores antes de llegar a su destino—como un camión de entrega que hace paradas en el camino. Cada servidor añade un registro de su viaje en las cabeceras del correo, que contienen información sobre de dónde vino el correo.
Cuando se envía un correo, pasa por estos servidores, cada uno añadiendo cabeceras de "Recibido" para mostrar el camino del correo. Si un correo pasa por muchos servidores antes de llegar a ti, podría ser una señal de alerta. Piensa en ello como un paquete que hace demasiados desvíos—¡podría ser sospechoso!
El Conjunto de Datos: Un Análisis Profundo
Para entender cómo operan los correos de phishing, los investigadores analizaron un conjunto de datos masivo durante un año. Este conjunto incluía miles de millones de correos y reveló que un número sorprendente de correos de phishing se origina en redes de confianza. Se rastrearon más de 800,000 correos de phishing, proporcionando valiosas ideas sobre el comportamiento de estos mensajes maliciosos.
El Poder de las Cabeceras de Correo
Las cabeceras de correo son como los certificados de nacimiento de los correos—cuentan la historia de dónde vino un correo y cómo llegó a tu bandeja de entrada. Al examinar estas cabeceras, los investigadores pueden categorizar las redes que envían correos de phishing.
Emergieron dos categorías principales:
- Redes de Baja Concentración de Phishing: Estas son redes donde la mayoría de los correos son legítimos, pero una pequeña cantidad proviene de intentos de phishing.
- Redes de Alta Concentración de Phishing: Estas redes principalmente envían correos de phishing con muy pocos mensajes legítimos mezclados.
Es como descubrir que algunos restaurantes solo sirven comida deliciosa, mientras que otros principalmente sirven platos que te harían cuestionar tus decisiones de vida.
¿Cuántos Correos de Phishing Pasan?
Las organizaciones a menudo utilizan filtros, como listas de bloqueo estáticas, para protegerse contra el phishing. Estas listas se usan para bloquear remitentes maliciosos conocidos, pero no son infalibles. De hecho, muchos correos de phishing aún logran pasar por estas barreras. Es como tener un guardia de seguridad en la puerta de entrada que, de vez en cuando, se queda dormido durante su turno—¡algunos estafadores aún logran entrar!
A pesar de tener estos filtros, cientos de miles de correos de phishing evaden la Detección. Esto se debe a que los estafadores se adaptan continuamente a sus métodos. Las direcciones de correo y la propiedad de los servidores cambian tan frecuentemente que las listas estáticas se vuelven obsoletas rápidamente.
El Paisaje Cambiante del Phishing
El paisaje del phishing está en constante cambio. Los atacantes a menudo saltan de una Red a otra para evitar ser atrapados, como un ladrón que cambia de disfraz después de cada robo. Esto hace que sea difícil para las defensas tradicionales mantenerse al día con las tácticas en evolución de los estafadores.
Los investigadores intentaron entender mejor estos comportamientos cambiantes. Al estudiar las redes que entregan correos de phishing a lo largo del tiempo, encontraron que muchas redes solo envían correos de phishing en ráfagas cortas. Esto sugiere que las medidas de seguridad actuales pueden no ser suficientes y que se necesitan métodos nuevos y más dinámicos para combatir el phishing.
Servicios de Filtrado de Correo: ¿Ayudan?
Algunas organizaciones emplean servicios de filtrado de correo que pueden detectar y bloquear intentos de phishing antes de que lleguen a las bandejas de entrada de los usuarios. Sin embargo, resulta que estos filtros no atrapan todo. En un estudio, el 75% de las organizaciones que utilizan servicios de filtrado de correo seguían siendo vulnerables a ataques de phishing. ¡Es como tener una cerradura en la puerta principal pero dejar la ventana completamente abierta!
Un Vistazo Más Cercano a la Infraestructura de los Atacantes
Aunque los proveedores de servicios de correo pueden sonar confiables, a veces alojan servicios abusados por atacantes. Estas redes pueden categorizarse según cuánto phishing envían y cuán estables son a lo largo del tiempo.
Algunas redes reputables, como Amazon y Microsoft, están sorprendentemente involucradas en phishing a pesar de ser conocidas por sus servicios legítimos. Los atacantes podrían usar estas plataformas para enviar correos de phishing porque saben que tienen menos posibilidades de ser marcados por los filtros de seguridad.
Identificando Campañas de Phishing
No todos los correos de phishing son iguales. Los investigadores categorizan los correos de phishing en campañas según el remitente y la línea de asunto. Al analizar múltiples campañas, pueden ver tendencias e identificar qué tácticas son más efectivas para los atacantes.
Los datos revelaron que un pequeño número de campañas contribuye a una cantidad significativa de correos de phishing. Esto significa que, aunque hay miles de atacantes, unos pocos son responsables de la mayoría de los correos fraudulentos que circulan por internet. Es un poco como un juego de Whac-A-Mole—no importa cuántos golpees, ¡siempre aparecerán algunos!
El Desafío de la Autenticación de Correo
Existen varios protocolos para autenticar a los remitentes de correos y contrarrestar el spoofing. Estos incluyen SPF, DKIM y DMARC. Sin embargo, muchos correos aún logran pasar a pesar de fallar estas verificaciones. El problema es que estos métodos de autenticación no son infalibles, a menudo están mal configurados o se aplican de manera inconsistente.
En realidad, menos de la mitad de los correos limpios pasan con éxito la validación de DMARC. Esta baja tasa de éxito enfatiza los desafíos que enfrentan las organizaciones para combatir el phishing solo a través de la autenticación.
El Papel de los Servicios de Alojamiento
Un número significativo de correos de phishing proviene de servicios de alojamiento en la nube reconocidos. Esto tiene sentido, ya que muchos atacantes explotan estas plataformas para enviar correos sin levantar sospechas. Las organizaciones deben averiguar qué pasos se pueden tomar para detectar a los actores maliciosos que hacen uso de estos servicios—como un portero que a veces deja entrar a personajes sospechosos sin darse cuenta.
Distribución Geográfica de los Correos de Phishing
Cuando los investigadores analizaron de dónde provenían los correos de phishing, encontraron que a menudo venían de países conocidos por sus servicios online. Países como EE. UU. y el Reino Unido aparecían frecuentemente como fuentes de correos limpios y de phishing.
Curiosamente, los correos de phishing a menudo viajaban a través de más países que los correos legítimos. La ruta que toma un correo puede decir mucho sobre su credibilidad. Si salta de país en país como un viajero del mundo, podría estar escondiendo algo.
Estudios de Caso sobre el Comportamiento del Phishing
Para ilustrar el comportamiento del phishing, los investigadores examinaron redes específicas conocidas por altas o bajas concentraciones de correos de phishing. Por ejemplo, algunas direcciones IP de proveedores conocidos, como Amazon y Microsoft, fueron responsables de una cantidad sorprendente de intentos de phishing. En algunas ocasiones, descubrieron que estos correos se enviaron utilizando cuentas comprometidas.
Otras redes demostraron comportamientos explosivos, enviando un gran volumen de correos de phishing en ráfagas cortas y luego desapareciendo. Esto resalta la necesidad de medidas adaptativas que puedan responder a cambios tan repentinos en los patrones de tráfico de correo electrónico.
Nuevas Estrategias para la Detección de Phishing
Con todo este conocimiento sobre las redes de phishing y sus comportamientos, los investigadores colaboraron con empresas de seguridad de correo electrónico para desarrollar un nuevo clasificador. Esta herramienta tiene como objetivo adaptarse al paisaje en constante cambio de los ataques de phishing.
En lugar de depender únicamente de listas estáticas, el nuevo sistema actualiza constantemente su comprensión de qué redes están entregando correos de phishing. Al emplear una ventana deslizante para monitorear el tráfico de correo, puede mejorar las tasas de detección y detectar ataques de phishing previamente no detectados.
Resultados del Mundo Real del Nuevo Enfoque
Cuando se puso a prueba el nuevo método de detección, identificó con éxito entre un 3-5% más de correos de phishing que los métodos anteriores. Esto significa que tener un sistema que reconozca patrones cambiantes puede conducir a una mejor protección contra estafas de phishing, ¡lo cual es música para los oídos de todos!
Conclusiones y Puntos Clave
En resumen, el phishing sigue siendo una amenaza significativa, con un número sorprendente de ataques provenientes de redes confiables. Muchos correos de phishing logran pasar por las defensas tradicionales, y los atacantes continuamente adaptan sus tácticas para mantenerse un paso adelante.
Al evaluar cómo se entregan los correos y crear métodos de detección adaptables, las organizaciones pueden reforzar sus defensas contra ataques de phishing. Así que la próxima vez que veas un correo pidiendo tu información personal, tómate un momento para detenerte y considerar—¿podría ser un astuto intento de phishing? ¡Es mejor estar seguro que arrepentido!
Título: Characterizing the Networks Sending Enterprise Phishing Emails
Resumen: Phishing attacks on enterprise employees present one of the most costly and potent threats to organizations. We explore an understudied facet of enterprise phishing attacks: the email relay infrastructure behind successfully delivered phishing emails. We draw on a dataset spanning one year across thousands of enterprises, billions of emails, and over 800,000 delivered phishing attacks. Our work sheds light on the network origins of phishing emails received by real-world enterprises, differences in email traffic we observe from networks sending phishing emails, and how these characteristics change over time. Surprisingly, we find that over one-third of the phishing email in our dataset originates from highly reputable networks, including Amazon and Microsoft. Their total volume of phishing email is consistently high across multiple months in our dataset, even though the overwhelming majority of email sent by these networks is benign. In contrast, we observe that a large portion of phishing emails originate from networks where the vast majority of emails they send are phishing, but their email traffic is not consistent over time. Taken together, our results explain why no singular defense strategy, such as static blocklists (which are commonly used in email security filters deployed by organizations in our dataset), is effective at blocking enterprise phishing. Based on our offline analysis, we partnered with a large email security company to deploy a classifier that uses dynamically updated network-based features. In a production environment over a period of 4.5 months, our new detector was able to identify 3-5% more enterprise email attacks that were previously undetected by the company's existing classifiers.
Autores: Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
Última actualización: 2024-12-16 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2412.12403
Fuente PDF: https://arxiv.org/pdf/2412.12403
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.