Spear phishing, acceso a información confidencial en empresas

Spear phishing es una modalidad de phishing que se lleva a cabo mediante el envío de correos electrónicos fraudulentos dirigidos a organizaciones o pequeñas y medianas empresas con la intención de tener acceso a información confidencial. El estafador se dirige personalmente a alguna persona con cargo o posición específica en la empresa u organización, suplantando la identidad de alguno de los miembros de la empresa para la comisión del delito.

El tiempo que dedican los estafadores en reunir ciertos datos personales sobre algún trabajador de una empresa, hace posible que puedan enviar correos electrónicos en nombre de dicha persona a determinados departamentos, solicitando generalmente nombres de usuarios, contraseñas o cualquier otro tipo de información confidencial con el objetivo principal de obtener acceso al sistema informático de la empresa. Una vez que acceden sin autorización a los datos o programas informáticos de la empresa, el margen de maniobra delictiva se extenderá hasta donde les sea posible. De manera que, entre otros objetivos primordiales, pueden sustraer, modificar o borrar información relacionada con la propiedad industrial e intelectual, información bancaria, datos de carácter personal de clientes o usuarios, nuevos proyectos que tenga en marcha la empresa, etcétera.

¿Cómo trabajan los estafadores mediante el spear phishing?

– El ciberdelincuente navega por el sitio web de la empresa y recoge toda la información que se detalla sobre los empleados o cargos directivos, además de toda aquella información empresarial que pueda servirles de ayuda para crear el contenido del correo electrónico fraudulento.

– Utilizan el nombre del dominio web o de la empresa para crearse cuentas de correo electrónico con un nombre de servidor que identifique a la empresa. Normalmente este tipo de información pueden recogerla fácilmente en los apartados “Contacta con nosotros” o “Aviso Legal” que, por lo general, tienen todas páginas web. He aquí dos ejemplos ficticios: javier_ht@dept-seguridad.apple.com; von_karajan@finanz.deutschebank.de

– Usando estos detalles, los ciberdelincuentes preparan un correo electrónico que parezca llegar de una persona que por razón de su cargo o puesto específico pueda pedir información confidencial. Éste podría hacerse pasar por un falso “Sys Admin” o representante de recursos humanos.

– El correo electrónico pedirá al destinatario los nombres de usuario y sus respectivas contraseñas, o puede pedir a la víctima que visite la nueva web corportativa del departamento (orientándole con una url) y resulte ser una descarga automática de un spyware o keyloggers.

– De este modo, con un único trabajador o miembro de la empresa que caiga en la estafa, el ciberdelincuente podrá tener ya acceso a red (o intranet), pudiendo hacer un daño incalculable.