Los atacantes mayormente se dirigen a los clientes particulares más que a la institución como negocio.
Los ataques de phishing contra los servicios financieros han estado aumentando en frecuencia y sofisticación en los últimos años. Esto se debe en parte a la creciente popularidad de los servicios financieros en línea y la facilidad con la que los criminales pueden llegar a una audiencia amplia a través de Internet.
Los usuarios de estos servicios se han convertido en un blanco atractivo para los atacantes debido a las sumas de dinero que pueden obtener. Según un estudio Enemy at the Gates, este tipo de ataques pueden representar pérdidas de hasta 17.700 dólares por minuto.
Ante este escenario, Oswaldo Palacios, Senior Account Manager para Guardicore, destaca que el alza en los ataques de phishing contra los servicios financieros aumentó significativamente del primero al segundo trimestre del 2022, pasando del 32% al 47%. Estas amenazas estuvieron dirigidas a los clientes de las instituciones financieras más que a la institución como negocio.
Crece el riesgo de ataque en la institución financiera
Palacios resaltó que un ataque que comienza cuando un empleado hace clic en un enlace en un correo electrónico de phishing puede terminar con la empresa sufriendo importantes daños financieros y de reputación. El eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico.
Para la mayoría del ransomware, parece que el vector de infracción más común es el phishing, que hace que el usuario abra un correo electrónico o mensaje de texto haciéndose pasar por una institución de confianza para engañarle y hacer que comparta contraseñas, números de tarjeta de crédito, y otra información confidencial. Gracias a la venta de kits de phishing fácilmente disponibles en el mercado clandestino a precios económicos, los ciberdelincuentes pueden lanzar ataques a sus objetivos previstos.
Camino fácil
Otro dato revelador del informe Enemy at the Gates es que los ataques de phishing eluden la autenticación de dos factores (2FA). Kr3pto fue el kit de phishing más utilizado en el segundo trimestre de 2022 dirigido a instituciones financieras. Una vez comprometidas, las credenciales objetivo pueden dar lugar a un acceso no autorizado a redes seguras o actividades fraudulentas mediante la introducción de técnicas que esquivan las soluciones 2FA utilizando tokens de contraseña de un solo uso o notificaciones automáticas.
Para eludir estos ataques, la investigación reveló que las empresas requieren la adopción de protecciones multifactor más sólidas. FIDO2, por ejemplo, es el último estándar que ofrece una mejor seguridad, ya que no requiere contraseña y solicita que los usuarios se autentiquen localmente (usando biometría, por ejemplo) para visitar sitios web o realizar transacciones en línea. Debido a que ya no requiere ningún nombre de usuario o contraseña, no hay más credenciales para permitir ejecutar un ataque de phishing.
Microsegmentación, interrumpe la cadena de ataque
El ransomware es uno de los ataques más devastadores que los clientes y cualquier organización financiera podría sufrir y que afectaría la confianza del usuario. Es un vector de amenaza que debe ser rastreado y mitigado de cerca; de acuerdo con el estudio, así es la cadena de ataque del ransomware:
1.- Infección inicial: El hacker deberá primero vulnerar el perímetro, los entes maliciosos deben conseguir un punto de apoyo inicial.
2.- Movimiento lateral: El ransomware también usa técnicas comunes de movimiento lateral para moverse a través de la red que cubre MITRE, como WMI, PsExec, tareas remotas programadas, RDP, WinRM y PsExec, así como exploits de día cero como EternalBlue y BlueKeep.
3.- Exfiltración: Una vez que los ciberdelincuentes obtienen privilegios de nivel superior, el siguiente paso es robar nombres de cuenta y contraseñas. Las vulnerabilidades de día cero también son fundamentales durante esta etapa para obtener credenciales en la red.
4.- Cifrado: Si el ransomware entra de alguna manera en un equipo de destino, una política de segmentación adecuada minimiza el daño.
5.- Nota de ransomware: En la pantalla secuestrada aparecerá un texto y archivo txt pidiendo el rescate.
6.- Ganancia monetaria para el atacante. Se recomienda no pagar.
Uno de los grandes obstáculos a los que se enfrentan muchas organizaciones es la falta de una visión clara de la actividad en todos los entornos locales y en la nube. Y asegura que la microsegmentación es una de las herramientas más importantes a la hora de mantener la seguridad de los datos.
La microsegmentación recopila y muestra información granular sobre los usuarios, los sistemas y los flujos de comunicación, utilizando la inteligencia artificial y las integraciones con las fuentes de datos existentes para añadir contexto.
Por último, el especialista reiteró que la combinación de visibilidad completa y la creación de políticas impulsadas por el contexto es lo que hace que una solución de microsegmentación aporte un gran valor a las instituciones financieras y ofrezca más oportunidades para interrumpir la cadena de ataques de ransomware en las fases más tempranas.