Esta es una historia real, y me pasó a mí. Su relevancia para los ataques cibernéticos modernos es importante porque, debido a una falla en el hardware, comencé a involucrarme con un actor de amenazas hasta que cometió errores y me di cuenta del golpe.
Entonces, ¿cómo se fue todo esto? Vamos a empezar con algunos antecedentes.
Yo estaba con mi esposa y varios compañeros de trabajo participando en un evento que ocurre todos los años, el "Presidents Club", en lo cual los destaques en ventas son reconocidos y premiados. Este tipo de evento es bastante común en las organizaciones y recibe a vendedores de todo el mundo.
Durante este evento, me reuní con algunos colegas para una excursión por la tarde en una ciudad local. Después de pasar unas horas en las tiendas, noté que mi teléfono había dejado de funcionar. En pocas palabras, el reconocimiento facial dejó de funcionar y la pantalla táctil no respondía por completo. No tenía forma de desbloquear el teléfono, ni de apagarlo. Lo mejor que pude hacer fue un reinicio manual y duro. Mi teléfono se reinició, pero estaba atascado en la pantalla de inicio, y todo lo que podía ver eran notificaciones. Ahí es donde comienza la diversión. Un teléfono roto con solo un nombre y las dos primeras líneas de un correo electrónico visible en la pantalla de inicio.
Ahora, adelantar unos días. Mientras estaba desayunando el fin de semana en el resort, mi teléfono vibraba. Todavía no estoy seguro de por qué lo llevaba, ya que era esencialmente inútil, pero me sentí mejor al dejarlo en mi habitación de hotel.
Después de una rápida mirada, noté un mensaje supuestamente de mi CEO preguntándome si tenía algo de tiempo ese día para una llamada. Eso es todo lo que pude leer en la pantalla de notificaciones. No pude ver la dirección de correo electrónico de origen, la firma ni ningún otro texto.
Regresé a mi habitación y encendí mi computadora portátil. Abrí el correo electrónico, y respondí al mensaje, solicitando detalles. Ahí comenzó mi interacción con el actor de amenazas.
Para confirmar el correo electrónico, envié un mensaje de texto a mi CEO preguntándole si realmente lo envió, aunque fuera una dirección de correo electrónico privada. No conocía ninguna de sus direcciones privadas, pero parecía legítimo porque tenía su nombre, título y un nombre de dominio ISP cerca de su residencia. Sabía ser cauteloso, pero también necesitaba verificar si era él o no.
Después de unos 30 minutos, recibí una respuesta del actor de amenazas y al instante supe que era un ataque de phishing.
La solicitud inmediata de tarjetas de regalo por parte del actor amenazador no me convenció.
Poco después, recibí una confirmación de mi CEO de que él no había enviado el correo electrónico, ni la dirección de correo electrónico era suya. El atacante había creado una cuenta ficticia para mi CEO, conocía su ciudad natal e identificó mi nombre y título para el ataque de phishing. Si bien toda esta información es pública, muestra el nivel de detalle al que irá el actor de amenazas para realizar un ataque. Además, después de que recibí el correo electrónico de phishing y dejé de responder, recibí varios correos electrónicos que intentaban atraer de nuevo a la estafa. Esto incluía todo, desde "¿Recibiste mi último correo electrónico? Necesito urgentemente confirmación ”para dirigirme a mí por mi nombre y pedirme confirmación de que puedo ayudar.
Con todo, fue un simple intento de phishing que se evitó. Sin embargo, tener una falla de hardware al mismo tiempo creó una situación que fue más difícil de manejar, lo que hizo aún más difícil probar que el correo electrónico tenía signos de una estafa.
Esta anécdota de ciberseguridad personal sirve como una simple advertencia para todos. Cualquiera puede ser objetivo de un atacante. Las consideraciones medioambientales y tecnológicas pueden dificultar la identificación de la amenaza; especialmente cuando un correo electrónico de phishing y una falla simple de hardware coinciden.
Si alguna vez tiene alguna duda sobre la legitimidad de un correo electrónico, verifique su origen y mire las pistas en los contenidos. Nuestro escrutinio hacia las comunicaciones (como el correo electrónico y el texto) se vuelve cada vez más importante a medida que los ciber criminosos continúan afilando sus lanzas, por ejemplo, al utilizar la tecnología con inteligencia artificial para obtener información relevante al contexto y al imitar los estilos de conversación de amigos, compañeros de trabajo, y conocidos.
Aunque mi historia es trivial en comparación con muchas otras, ella me enseñó una lección que quisiera instigar a todos: nunca confíe en información parcial, como la pantalla de notificaciones de un teléfono celular para determinar una amenaza. Las evaluaciones adecuadas de un correo electrónico, por ejemplo, conteniendo un esquema de phishing, requieren una inspección minuciosa para comprobar el riesgo. Y, recuerde estar tranquilo; ningún email necesita una respuesta inmediata, especialmente en el fin de semana. Si algo es urgente, llame y compruebe lo que realmente está pasando.
Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.
